15/11/2024

Actu CybersécuritéWeb

WordPress : des pirates exploitent une faille critique dans Elementor Pro !

Dans le cadre d'attaques informatiques, un groupe de cybercriminels exploite une vulnérabilité critique dans l'extension Elementor Pro pour WordPress dans le but de compromettre des sites Web. Faisons le point sur cette menace.

L'extension Elementor Pro est très populaire sur les sites WordPress puisqu'elle permet de créer des pages sur mesure, et cette popularité se traduit par un nombre très élevé de sites qui l'utilisent : au moins 12 millions de sites Web d'après le site officiel de l'extension.

Les pirates informatiques tentent d'exploiter cette faille de sécurité qui affecte Elementor Pro 3.11.6 (et les versions antérieures). La bonne nouvelle, c'est que les développeurs ont déjà mis en ligne une version qui corrige cette vulnérabilité : Elementor Pro 3.11.7, disponible depuis le 22 mars 2023. L'éditeur de ce plugin s'est montré plutôt réactif puisque la vulnérabilité a été signalée le 18 mars 2023 par le chercheur en sécurité Jerome Bruandet de chez NinTechNet.

Cette faille de sécurité est dangereuse, voici les précisions de Patchstack à ce sujet : "Cela permet à un utilisateur malveillant d'activer la page d'enregistrement (si elle est désactivée) et de définir le rôle de l'utilisateur par défaut comme étant celui d'un administrateur afin de pouvoir créer un compte qui aura immédiatement les privilèges d'un administrateur." Autrement dit, l'attaquant peut devenir administrateur de votre site WordPress et en prendre le contrôle total. Ce qui va lui permettre de rediriger les accès à votre site vers un autre domaine malveillant ou de déployer une porte dérobée pour garder la main sur le site.

Si vous utilisez Elementor Pro, n'attendez pas qu'il soit trop tard pour installer Elementor Pro 3.11.7 ou la version 3.12.0 qui est encore plus récente sur votre site WordPress. J'en profite aussi pour vous rappeler l'alerte émise au sujet d'une faille de sécurité dans un autre plugin WordPress : WooCommerce Payments. Là aussi, il faut patcher rapidement si cela vous concerne.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “WordPress : des pirates exploitent une faille critique dans Elementor Pro !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.