Des pirates exploitent activement une vulnérabilité de sécurité récemment corrigée dans le plugin de création de sites web Elementor Pro pour WordPress.
La faille, décrite comme un cas de contrôle d’accès défaillant, affecte les versions 3.11.6 et antérieures. Elle a été corrigée par les responsables du plugin dans la version 3.11.7 publiée le 22 mars.
« L’entreprise basée à Tel-Aviv a indiqué dans ses notes de mise à jour qu’elle avait amélioré l’application de la sécurité du code dans les composants WooCommerce. On estime que le plugin premium est utilisé sur plus de 12 millions de sites.
L’exploitation réussie de la faille de haute sévérité permet à un attaquant authentifié de prendre le contrôle d’un site WordPress sur lequel WooCommerce est activé.
« Cela permet à un utilisateur malveillant d’activer la page d’enregistrement (si elle est désactivée) et de définir le rôle de l’utilisateur par défaut sur administrateur afin qu’il puisse créer un compte qui dispose instantanément des privilèges d’administrateur », a déclaré Patchstack dans une alerte datée du 30 mars 2023.
Après cela, il est probable qu’ils redirigent le site vers un autre domaine malveillant ou qu’ils téléchargent un plugin malveillant ou une porte dérobée pour exploiter davantage le site.
C’est le chercheur en sécurité Jerome Bruandet de NinTechNet qui a découvert et signalé la vulnérabilité le 18 mars 2023.
Patchstack a également noté que la faille est actuellement exploitée à partir de plusieurs adresses IP dans le but de télécharger des fichiers PHP et ZIP arbitraires.
Il est recommandé aux utilisateurs du plugin Elementor Pro de mettre à jour vers la version 3.11.7 ou 3.12.0, qui est la dernière version, dès que possible pour atténuer les menaces potentielles.
Cet avis intervient plus d’un an après que le plugin Essential Addons for Elementor s’est avéré contenir une vulnérabilité critique susceptible d’entraîner l’exécution d’un code arbitraire sur des sites web compromis.
La semaine dernière, WordPress a publié des mises à jour automatiques pour remédier à un autre bogue critique dans le plugin WooCommerce Payments qui permettait à des attaquants non authentifiés d’obtenir un accès administrateur à des sites vulnérables.