Des hackers exploitent actuellement une vulnérabilité de sécurité dans le plugin Elementor Pro pour la création de sites web sous WordPress, récemment corrigé.
La faille, considérée comme un problème de contrôle d’accès défectueux, concerne les versions 3.11.6 et antérieures et a été résolue dans la version 3.11.7, publiée le 22 mars. Ce plugin premium est utilisé sur plus de 12 millions de sites. L’exploitation réussie de cette faille de sécurité de haut niveau permet à un attaquant authentifié de prendre le contrôle d’un site WordPress avec WooCommerce activé.
Patchstack, dans une alerte datée du 30 mars, a déclaré : « Cela permet à un utilisateur malveillant d’activer la page d’inscription (si elle est désactivée) et de définir le rôle d’utilisateur par défaut en tant qu’administrateur pour pouvoir créer un compte qui a instantanément des privilèges d’administrateur. Après cela, il est probable qu’ils redirigent le site vers un autre domaine malveillant ou téléchargent un plugin ou une porte dérobée malveillante pour exploiter davantage le site ».
Le chercheur en sécurité Jerome Bruandet de NinTechNet a découvert et signalé cette vulnérabilité le 18 mars 2023. Patchstack a également noté que cette faille était actuellement exploitée par plusieurs adresses IP malveillantes dans le but de télécharger des fichiers PHP et ZIP arbitraires.
Les utilisateurs du plugin Elementor Pro sont invités à mettre à jour leur version vers 3.11.7 ou 3.12.0, la dernière en date, dès que possible pour réduire les risques potentiels. Cette alerte intervient plus d’un an après la découverte d’une vulnérabilité critique dans le plugin Essential Addons for Elementor, qui pouvait entraîner l’exécution de code arbitraire sur les sites compromis.
La semaine dernière, WordPress a publié des mises à jour automatiques pour remédier à un autre bug critique dans le plugin WooCommerce Payments, permettant aux attaquants non authentifiés d’obtenir l’accès administrateur aux sites vulnérables.
Si vous souhaitez protéger votre site WordPress contre les vulnérabilités et les attaques de hackers, n’hésitez pas à découvrir nos services de sécurité et de maintenance pour WordPress. Contactez-nous dès maintenant pour en savoir plus !