PatchStack, spécialiste de la cybersécurité de WordPress, a publié, le 11 mai 2023, une alerte sur une faille critique affectant un addon d’Elementor, un des plus populaires plug-ins de WordPress. Plus d’un million de sites Internet utilisent ce module compromis, « Essential Addons for Elementor ». WordPress est une plateforme de gestion de contenus en ligne, utilisée par 43,2 % des sites web dans le monde.
La faille permet de modifier le mot de passe administrateur d’un site, pour peu de disposer d’un nom d’utilisateur valide. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
L’attaquant peut alors prendre le contrôle de la plateforme WordPress et modifier à sa guise le site Internet. Les conséquences peuvent être nombreuses et potentiellement graves : vol de données, création ou suppression de pages, distribution de malwares, injection de code malveillant etc.
WordPress a mis en ligne un patch du module « Essential Addons for Elementor ». Tous ses utilisateurs doivent l’installer dès que possible.
![[Forum InCyber Montréal 2023] IA générative : réimaginer les droits d’auteur](https://incyber.org/wp-content/uploads/2023/11/FIC-NA-2023-480x300.png)
