Une vulnérabilité critique dans l’extension WordPress Essential Addons for Elementor

/ Phishing, Piratage, WordPress / Par / 2 minutes de lecture
227
5/5 - (6 votes)

Une vulnérabilité critique dans une extension WordPress.

La découverte d’une faille critique dans l’extension “Essential Addons for Elementor” permet aux pirates d’inclure des charges utiles localement. Plusieurs centaines de milliers de sites seraient potentiellement concernés par cette faille de gravité très élevée.

Généralement les pirates cherchent à exécuter du code à distance grâce à des attaques par brute force des identifiants de connexion de niveau administrateur.

Ce n’est pas la première fois que les pirates ciblent le système de gestion de contenu gratuit WordPress par le biais de ses extensions. En effet le CMS WordPress est installé dans près de la moitié des sites internet mondiaux. L’intérêt financier pour les hackers devient sans limite compte tenu du flux continu des nouvelles extensions qui facilitent le travail des administrateurs de sites.

En décembre 2021, deux vulnérabilités de sécurité critiques et de gravité élevée du plugin SEO WordPress “All in One” exposaient plus de 3 millions de sites Web à des attaques avec prise de contrôle.

En janvier 2022, une vulnérabilité critique et de gravité élevée du plugin WordPress WP HTML Mail pouvait conduire à l’injection de code et à la distribution de courriels de phishing.

En février 2022, la faille critique de l’extension “Essential Addons for Elementor” permet à un attaquant d’exécuter du code arbitraire à distance sans être authentifié. Pour cette raison ce sont potentiellement plus de 600 000 sites WordPress vulnérables susceptibles de subir une attaque en cas d’absence de la mise à jour de sécurité.

600 000 sites WordPress touchés par la vulnérabilité critique du plugin RCE. Essential Addons for Elementor, un plugin WordPress populaire utilisé dans plus d’un million de sites, s’est avéré avoir une vulnérabilité critique d’exécution de code à distance (RCE) dans la version 5.0.4 et les versions antérieures.

La faille permet à un utilisateur non authentifié d’effectuer une attaque par inclusion de fichier local, tel qu’un fichier PHP, pour exécuter du code sur le site. (Sources)


WordPress est un système de gestion de contenu gratuit (SGC ou content management system (CMS) en anglais) et open-source, ce qui signifie que tout le monde peut participer à son évolution en proposant des codes et des idées. Ce logiciel libre écrit en PHP, repose sur une base de données MySQL, et est distribué par l'entreprise américaine Automattic. Les fonctionnalités de WordPress lui permettent de gérer n'importe quel site web ou blog. Il est distribué selon les termes de la licence GNU GPL version 2. Le logiciel est aussi à l'origine du service WordPress.com. En 2021, le CMS WordPress est utilisé par près de la moitié des sites internet mondiaux (43%) et 22% du WooCommerce mondial. A ce titre il représente une cible pour les cyberattaques.


Un système de gestion de contenu (CMS) ou SGC est un programme permettant de créer un site internet, un blog ou encore un site e-commerce. Il permet les fonctionnalités suivantes : il permet à plusieurs individus de travailler sur un même document. WordPress fait partie des CMS les plus connus et installés dans le monde.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français diplômé en ingénierie logicielle. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut