TL;DR : une vulnérabilité majeure impacte les sites WordPress
– Vulnérabilité XSS dans Essential Addons For Elementor
– Plus de 2 millions de sites potentiellement touchés
– Widgets Countdown et Woo Product Carousel en cause
– Mise à jour critique recommandée
Quelle est la vulnérabilité affectant les sites WordPress ?
Une vulnérabilité de type Stored Cross-Site Scripting (XSS) a été découverte dans le plugin populaire Essential Addons For Elementor, mettant en péril la sécurité de plus de 2 millions de sites web.
Quels widgets sont à l’origine des failles de sécurité ?
Les widgets Countdown et Woo Product Carousel Widget sont identifiés comme étant les composants responsables des failles de sécurité qui permettent l’exploitation de la vulnérabilité XSS.
En quoi consiste le plugin Essential Addons For Elementor ?
Essential Addons For Elementor est un plugin qui enrichit le constructeur de pages WordPress Elementor avec des fonctionnalités et widgets supplémentaires, augmentant ainsi les possibilités de personnalisation des sites web.
Comment l’attaque XSS est-elle menée ?
Les attaquants exploitent la vulnérabilité en injectant des scripts malveillants qui s’exécutent ensuite dans les navigateurs des visiteurs, leur permettant potentiellement de voler des cookies de session et de prendre le contrôle du site web.
Quelles sont les erreurs de programmation à l’origine de la vulnérabilité ?
L’origine de la vulnérabilité réside dans l’échec de la “sanitization” des entrées, c’est-à-dire le filtrage insuffisant des scripts indésirables, ainsi que dans l’échec de “l’escape output”, qui devrait éliminer les données indésirables avant leur transmission au navigateur.
Quels avertissements ont été émis concernant les widgets spécifiques ?
Des avertissements ont été émis pour le Countdown Widget, affecté par une vulnérabilité via le paramètre ‘message’ jusqu’à la version 5.9.11, et pour le Woo Product Carousel Widget, affecté via le paramètre ‘alignment’ jusqu’à la version 5.9.10.
Qui sont les attaquants authentifiés et quel est le niveau de menace ?
Les attaquants authentifiés sont des individus ayant acquis des identifiants de site web, avec un niveau d’accès de contributeur ou supérieur. Le niveau de menace est considéré comme moyen, avec un score de 6,4 sur 10.
Quelles mesures doivent prendre les utilisateurs du plugin ?
Il est fortement recommandé aux utilisateurs du plugin Essential Addons For Elementor ayant une version 5.9.11 ou inférieure de procéder à une mise à jour. La version 5.9.13 est actuellement considérée comme sécurisée.
Pour plus d’informations sur cette actualité, consultez l’article détaillé sur Search Engine Journal.