Une faille critique découverte dans une extension de WordPress

Affectant le plug-in « Essential Addons for Elementor », utilisé par plus d’un million de sites Internet, la faille peut conduire à une prise de contrôle du site

PatchStack, spécialiste de la cybersécurité de WordPress, a publié, le 11 mai 2023, une alerte sur une faille critique affectant un addon d’Elementor, un des plus populaires plug-ins de WordPress. Plus d’un million de sites Internet utilisent ce module compromis, « Essential Addons for Elementor ». WordPress est une plateforme de gestion de contenus en ligne, utilisée par 43,2 % des sites web dans le monde.

La faille permet de modifier le mot de passe administrateur d’un site, pour peu de disposer d’un nom d’utilisateur valide. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.

L’attaquant peut alors prendre le contrôle de la plateforme WordPress et modifier à sa guise le site Internet. Les conséquences peuvent être nombreuses et potentiellement graves : vol de données, création ou suppression de pages, distribution de malwares, injection de code malveillant etc.

WordPress a mis en ligne un patch du module « Essential Addons for Elementor ». Tous ses utilisateurs doivent l’installer dès que possible.