Le plugin WordPress Elementor touché par 6 vulnérabilités

Jusqu’à 5 millions de sites WordPress affectés par un malware majeur découvert dans des vulnérabilités du plugin Elementor builder.

Des experts en sécurité WordPress ont émis une alerte concernant six failles XSS distinctes identifiées dans le module Elementor Builder dans les versions free et Pro. Ces vulnérabilités pourraient potentiellement permettre aux pirates d’insérer des scripts nuisibles dans le code.

Elementor est le builder de création de sites web n°1 pour WordPress, comptant plus de 5 millions d’installations actives à travers le globe. L’équipe WordPress indique d’ailleurs que ce module est utilisé pour alimenter plus de 16 millions de sites web dans le monde entier. Son interface intuitive de type « glisser-déposer » permet à tout utilisateur de concevoir rapidement des sites web professionnels.

La version Pro enrichit cette plateforme en offrant des widgets supplémentaires ainsi que des fonctionnalités avancées de commerce électronique. Cependant, cette popularité a également attiré l’attention des pirates informatiques, faisant d’Elementor une cible privilégiée. 6 vulnérabilités Elementor ont été récemment découvertes et sont particulièrement préoccupantes.

Il est important de noter que ces six vulnérabilités sont distinctes et complètement indépendantes les unes des autres et qu’elles résultent spécifiquement d’une sécurité insuffisante du côté d’Elementor.

Elementor Website Builder et sa version Pro présentent six vulnérabilités distinctes de type Cross-Site Scripting (XSS). Ces vulnérabilités WordPress sont liées à des problèmes du côté Input sanitization et Output escaping.

L’Input sanitization représente une pratique standard en programmation, visant à sécuriser les zones d’un plugin permettant aux utilisateurs d’introduire des données dans un formulaire ou de télécharger des fichiers multimédias. Ce processus bloque toute entrée qui ne correspond pas aux attentes.

L’ouput escaping consiste elle à sécuriser les données envoyées par le plugin au navigateur afin d’éviter d’exposer celui-ci à des scripts non fiables pour les visiteurs du site.

Les utilisateurs des deux versions d’Elementor sont encouragés à mettre à jour leur plugin vers la dernière version dès que possible. Bien que l’exploitation de la vulnérabilité nécessite qu’un hacker obtienne les autorisations d’un utilisateur, cela reste probable en particulier si les utilisateurs WordPress n’ont pas de mots de passe forts.

Selon Wordfence, deux vulnérabilités affectent la version gratuite d’Elementor. Mais le journal des modifications montre qu’il n’y a qu’un seul correctif.
Les problèmes affectant la version gratuite sont dans Path Widget et dans Post Navigation Widget.

Toutes les informations au sujet des mises à jour Elementor sont disponibles dans le changelog.