
Une faille critique découverte dans une extension de WordPress
Articles du même auteur :
2
3
4
Affectant le plug-in « Essential Addons for Elementor », utilisé par plus d’un million de sites Internet, la faille peut conduire à une prise de contrôle du site
PatchStack, spécialiste de la cybersécurité de WordPress, a publié, le 11 mai 2023, une alerte sur une faille critique affectant un addon d’Elementor, un des plus populaires plug-ins de WordPress. Plus d’un million de sites Internet utilisent ce module compromis, « Essential Addons for Elementor ». WordPress est une plateforme de gestion de contenus en ligne, utilisée par 43,2 % des sites web dans le monde.
La faille permet de modifier le mot de passe administrateur d’un site, pour peu de disposer d’un nom d’utilisateur valide. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
L’attaquant peut alors prendre le contrôle de la plateforme WordPress et modifier à sa guise le site Internet. Les conséquences peuvent être nombreuses et potentiellement graves : vol de données, création ou suppression de pages, distribution de malwares, injection de code malveillant etc.
WordPress a mis en ligne un patch du module « Essential Addons for Elementor ». Tous ses utilisateurs doivent l’installer dès que possible.