{"id":96411,"date":"2022-04-18T06:45:32","date_gmt":"2022-04-18T08:45:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/faille-rce-critique-signalee-dans-le-plugin-wordpress-elementor-website-builder\/"},"modified":"2022-04-18T06:45:36","modified_gmt":"2022-04-18T08:45:36","slug":"faille-rce-critique-signalee-dans-le-plugin-wordpress-elementor-website-builder","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/faille-rce-critique-signalee-dans-le-plugin-wordpress-elementor-website-builder\/","title":{"rendered":"Faille RCE critique signal\u00e9e dans le plugin WordPress Elementor Website Builder"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Elementor, un plugin de cr\u00e9ation de site Web WordPress avec plus de cinq millions d’installations actives, s’est av\u00e9r\u00e9 vuln\u00e9rable \u00e0 une faille d’ex\u00e9cution de code \u00e0 distance authentifi\u00e9e qui pourrait \u00eatre utilis\u00e9e de mani\u00e8re abusive pour prendre le contr\u00f4le des sites Web concern\u00e9s.<\/p>\n

Vuln\u00e9rabilit\u00e9s des plugins, qui divulgu\u00e9<\/a> la faille la semaine derni\u00e8re, a d\u00e9clar\u00e9 que le bogue avait \u00e9t\u00e9 introduit dans la version 3.6.0 publi\u00e9e le 22 mars 2022. 37% des utilisateurs<\/a> du plugin sont sur la version 3.6.x.<\/p>\n

\"La<\/a><\/div>\n

“Cela signifie que le code malveillant fourni par l’attaquant peut \u00eatre ex\u00e9cut\u00e9 par le site Web”, ont d\u00e9clar\u00e9 les chercheurs. “Dans ce cas, il est possible que la vuln\u00e9rabilit\u00e9 soit exploitable par une personne non connect\u00e9e \u00e0 WordPress, mais elle peut facilement \u00eatre exploit\u00e9e par toute personne connect\u00e9e \u00e0 WordPress ayant acc\u00e8s au tableau de bord d’administration de WordPress.”<\/p>\n

En un mot, le probl\u00e8me concerne un cas de t\u00e9l\u00e9chargement arbitraire de fichiers sur les sites Web concern\u00e9s, entra\u00eenant potentiellement l’ex\u00e9cution de code.<\/p>\n

\"Plugin<\/div>\n

Le bogue a \u00e9t\u00e9 corrig\u00e9 dans la derni\u00e8re version d’Elementor, avec Patchstack notant<\/a> que “cette vuln\u00e9rabilit\u00e9 pourrait permettre \u00e0 tout utilisateur authentifi\u00e9, quelle que soit son autorisation, de changer le titre du site, le logo du site, de changer le th\u00e8me pour le th\u00e8me d’Elementor et, pire que tout, de t\u00e9l\u00e9charger des fichiers arbitraires sur le site”.<\/p>\n

\"La<\/a><\/div>\n

La divulgation intervient plus de deux mois apr\u00e8s qu’il a \u00e9t\u00e9 d\u00e9couvert qu’Essential Addons for Elementor contenait une vuln\u00e9rabilit\u00e9 critique pouvant entra\u00eener l’ex\u00e9cution de code arbitraire sur des sites Web compromis.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Elementor, un plugin de cr\u00e9ation de site Web WordPress avec plus de cinq millions d’installations actives, s’est av\u00e9r\u00e9 vuln\u00e9rable \u00e0 une faille d’ex\u00e9cution de code \u00e0 distance authentifi\u00e9e qui pourrait \u00eatre utilis\u00e9e de mani\u00e8re abusive pour prendre le contr\u00f4le des sites Web concern\u00e9s. Vuln\u00e9rabilit\u00e9s des plugins, qui divulgu\u00e9 la faille la semaine derni\u00e8re, a d\u00e9clar\u00e9 […]<\/p>\n","protected":false},"author":1,"featured_media":96412,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[41305,4168,22,4158,4165,4161,429,51601,9048,4157,4159,4171,4170,4167,4160,4163,4162,51599,22778,4172,4169,9499,4166,4164,51602,51600],"class_list":["post-96411","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-builder","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-elementor","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-plugin","tag-rce","tag-securite-informatique","tag-securite-internet","tag-signalee","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-website","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/96411","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=96411"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/96411\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/96412"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=96411"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=96411"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=96411"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}