Si vous etes utilisateur du plugin Essential Addons for Elementor WordPress, vous deviez le mettre à jour immédiatement
Un plugin WordPress populaire utilisé par plus d’un million de sites Web dans le monde s’est avéré contenir une vulnérabilité critique d’exécution de code à distance (RCE) qui permettrait à des acteurs potentiellement malveillants d’effectuer une attaque de logiciel malveillant incluant des fichiers locaux.
Le chercheur en cybersécurité Wai Yan Muo Thet a découvert une vulnérabilité dans le plugin Essential Addons for Elementor le 25 janvier 2022 et la signalée à Patchstack le même jour.
WPDeveloper le propriétaire du plugin en question était au courant de la vulnérabilité et a fait deux tentatives infructueuses pour la corriger.
Comment résoudre le problème efficacement ?
« L’inclusion de fichier local est une vulnérabilité existante en raison de la façon dont l’entrée utilisateur est utilisée dans la fonction d’inclusion de PHP. Cela fait partie des fonctions ajax_load_more et ajax_eael_product_gallery » a expliqué PatchStack.
ACTION RECOMMANDÉE......
La seule et unique chose dont un site vulnérable a besoin est d’activer les extensions « galerie dynamique » et « galerie de produits » a-t-il ajouté.
Les versions 5.0.3 et 5.0.4 ont tentés de résoudre le problème qui a finalement été résolu dans la version 5.0.5. À ce jour environ
00 000 sites Web ont mis à jour le plugin ce qui signifie qu’environ 600 000 présentent encore des vulnérabilités.
Ceux qui exécutent Essential Addons for Elementor ont deux façons de résoudre le problème : en téléchargeant la dernière version à partir de ce lien ou en accédant au tableau de bord WordPress et en activant la mise à jour directement à partir de la rubrique extensions
Les plugins WordPress se sont révélés être une cible populaire pour les pirates pour attaquer les failles de sécurité majeures ces derniers mois. En novembre 2021 des chercheurs ont découvert une vulnérabilité de prise de contrôle de site dans laddon Preview Emails pour WooCommerce tandis qu’en décembre 2021 une vulnérabilité dans le populaire plugin WPS Hide Login pourrait permettre à l’attaquant d’accéder à la page de connexion de l’administrateur du site.
La bonne nouvelle est que les propriétaires de plugins sont souvent réactifs lorsque des vulnérabilités sont révélées. Les webmasters exécutant des sites WordPress doivent maintenir tous leurs plugins à jour pour minimiser le risque de piratage.
Vous pouvez demander de l’aide pour votre site en nous contactant