1 million de sites WordPress en danger
C'est l'un des plug-ins les plus populaire sur le CMS WordPress. Cette extension facilite la conception des pages web, il s'agit de "Essential Addons for Elementor". Mais la société PatchStack vient d'émettre, le 11 mai 2023, une alerte de cybersécurité sous le CVE-2023-32243. Le patch correctif est déjà disponible.
The security vulnerability in Essential Addons for Elementor
This plugin suffers from an unauthenticated privilege escalation vulnerability and allows any unauthenticated user to escalate their privilege to that of any user on the WordPress site.
Le plug-in "Essential Addons pour Elementor"
Cette extension pour WordPress est installée sur plus d'un million de sites web. C'est en effet l'un des ajouts les plus populaires pour "Elementor". Les versions concernées par la faille sont celle comprises entre la 5.4.0 et la 5.7.1 incluses.
Ce plug-in WordPress augmente les capacités d'Elementor en lui ajoutant plus de 90 composants de page et éléments de créativité. Il rend la création de pages web ou d'article de blog plus facile, avec des mises en page plus attrayantes.
Des conséquences graves déjà exploitées
La faille est déjà activement exploitée et elle est d'autant plus facilitée si l'administrateur du site WordPress n'a pas personnalisé son compte administrateur. Elle permet en effet au hacker de lancer un demande de réinitialisation du mot de passe admin et donc de prendre de contrôle complet du site WordPress touché.
Les conséquences sont potentiellement élevées. Une fois le compte de l'administrateur WordPress compromis, l'attaquant peut bénéficier d'un accès non-autorisé à des informations privées. Mais il peut aussi modifier le site, supprimer des contenus ou procéder au défacement de pages web. Il peut aussi détourner la réputation du site pour distribuer des logiciels malveillants aux visiteurs, portant atteinte à l'image de marque de son propriétaire.
L'attaque suppose que le hacker a connaissance d'au moins un nom d'utilisateur du site WordPress ciblé. Mais c'est en réalité assez facile à obtenir. L'accès frauduleux pourra ensuite être revendu à d'autres hackers, sur le darkweb et des plateformes illégales. Il n'y a donc qu'un seul conseil : mettez à jour vos plug-ins WordPress, et en particulier "Essential addons for Elementor" !
Un correctif est déjà en ligne
Le patch de la vulnérabilité de cette extension pour WordPress est déjà disponible à cette adresse. Il est donc recommandé a tous les utilisateurs de ce module de procéder à la mise à jour au plus vite !
Les failles dans les extensions WordPress sont nombreuses. Il est nécessaire que les administrateurs de sites web et les agence de création web suivent de près les mises à jours des modules complémentaires qu'ils utilisent. Les attaques permettant l'injection de code malveillant sont également courantes, mais elles peuvent être bloquées car aux solutions WAF (Web Application Firewall) telles que ProtectMy.site.