WordPress : une vulnérabilité critique trouvée dans un plugin pour Elementor avec plus d'un million d'installations

Un plugin WordPress avec plus d'un million d'installations s'est avéré contenir une vulnérabilité critique qui pourrait entraîner l'exécution de code arbitraire sur des sites Web compromis.
La vulnérabilité à été rendue publique sous CVE-2022-0320, elle atteint un score de 9.8 sous CVSS v3.

Le plugin en question est Essential Addons for Elementor, qui fournit aux propriétaires de sites WordPress une bibliothèque de plus de 80 éléments et extensions pour aider à concevoir et personnaliser des pages et des publications.

?
Patchstack,
(qui est un outil qui aide à identifier les vulnérabilités de sécurité dans tous les plugins, thèmes et noyaux de sites Web) a déclaré :

"Cette vulnérabilité permet à tout utilisateur, quel que soit son statut d'authentification ou d'autorisation, d'effectuer une attaque par inclusion de fichiers locaux"

"Cette attaque peut être utilisée pour inclure des fichiers locaux sur le système de fichiers du site Web, tels que /etc/passwd. Cela peut également être utilisé pour effectuer RCE en incluant un fichier avec un code PHP malveillant qui ne peut normalement pas être exécuté."


Cela dit, la vulnérabilité n'existe que si des widgets tels que la galerie dynamique et la galerie de produits sont utilisés, qui utilisent la fonction vulnérable, entraînant l'inclusion de fichiers locaux - une technique d'attaque dans laquelle une application Web est amenée à exposer ou à exécuter des fichiers arbitraires sur le serveur Web.

La faille affecte toutes les versions de l'addon à partir de la version 5.0.4 et inférieure, et le chercheur "Wai Yan Myo Thet" est crédité d'avoir découvert la vulnérabilité.
Suite à une divulgation responsable, la faille de sécurité a finalement été colmatée dans la version 5.0.5 publiée le 28 janvier "après plusieurs correctifs insuffisants".

Le développement intervient des semaines après qu'il est apparu que des acteurs non identifiés avaient altéré des dizaines de thèmes et plugins WordPress hébergés sur le site Web d'un développeur pour injecter une porte dérobée dans le but d'infecter d'autres sites.

Il est donc recommandé d'effectuer une mise à jour d'Essential Addons for Elementor vers la dernière version (actuellement 5.0.7) au plus vite !