PatchStack, spécialiste de la cybersécurité de WordPress, a publié, le 11 mai 2023, une alerte sur une faille critique affectant un addon d’Elementor, un des plus populaires plug-ins de WordPress. Plus d’un million de sites Internet utilisent ce module compromis, « Essential Addons for Elementor ». WordPress est une plateforme de gestion de contenus en ligne, utilisée par 43,2 % des sites web dans le monde.
La faille permet de modifier le mot de passe administrateur d’un site, pour peu de disposer d’un nom d’utilisateur valide. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
L’attaquant peut alors prendre le contrôle de la plateforme WordPress et modifier à sa guise le site Internet. Les conséquences peuvent être nombreuses et potentiellement graves : vol de données, création ou suppression de pages, distribution de malwares, injection de code malveillant etc.
WordPress a mis en ligne un patch du module « Essential Addons for Elementor ». Tous ses utilisateurs doivent l’installer dès que possible.
![[FIC 2023] 4 enjeux essentiels pour survivre dans le Far West des noms de domaine](https://incyber.org/wp-content/uploads/2023/04/iStock-1410312530-480x300.jpg)
![[FIC 2023] Confiance dans le numérique : « On ne peut plus en croire ses yeux »](https://incyber.org/wp-content/uploads/2023/05/Plénière-480x300.png)
