Elementor, un plugin de création de site Web WordPress avec plus de cinq millions d’installations actives, s’est avéré vulnérable à une faille d’exécution de code à distance authentifiée qui pourrait être utilisée de manière abusive pour prendre le contrôle des sites Web concernés.
Vulnérabilités des plugins, qui divulgué la faille la semaine dernière, a déclaré que le bogue avait été introduit dans la version 3.6.0 publiée le 22 mars 2022. 37% des utilisateurs du plugin sont sur la version 3.6.x.
« Cela signifie que le code malveillant fourni par l’attaquant peut être exécuté par le site Web », ont déclaré les chercheurs. « Dans ce cas, il est possible que la vulnérabilité soit exploitable par une personne non connectée à WordPress, mais elle peut facilement être exploitée par toute personne connectée à WordPress ayant accès au tableau de bord d’administration de WordPress. »
En un mot, le problème concerne un cas de téléchargement arbitraire de fichiers sur les sites Web concernés, entraînant potentiellement l’exécution de code.
Le bogue a été corrigé dans la dernière version d’Elementor, avec Patchstack notant que « cette vulnérabilité pourrait permettre à tout utilisateur authentifié, quelle que soit son autorisation, de changer le titre du site, le logo du site, de changer le thème pour le thème d’Elementor et, pire que tout, de télécharger des fichiers arbitraires sur le site ».
La divulgation intervient plus de deux mois après qu’il a été découvert qu’Essential Addons for Elementor contenait une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire sur des sites Web compromis.