TL;DR : vulnérabilité xss dans beaver builder pour wordpress
– Vulnérabilité XSS découverte dans Beaver Builder
– Risque d’injection de scripts nuisibles
– Nécessité de mise à jour vers la version 2.8.0.7
Quelle vulnérabilité a été découverte dans le plugin Beaver Builder pour WordPress ?
Une vulnérabilité de type XSS (Cross Site Scripting) a été identifiée dans le plugin Beaver Builder, un outil de création de sites web pour WordPress.
Cette faille de sécurité pourrait permettre à un attaquant d’injecter et d’exécuter des scripts malveillants sur les sites web utilisant le plugin.
Ces scripts malveillants s’activent lorsqu’un utilisateur visite une page affectée, potentiellement compromettant les données utilisateur.
Qu’est-ce que le Beaver Builder et en quoi est-il populaire ?
Le Beaver Builder est un plugin WordPress qui simplifie la création de sites web grâce à une interface de type “glisser-déposer”.
Il est plébiscité pour sa facilité d’utilisation, permettant aux utilisateurs de choisir parmi des modèles prédéfinis ou de créer des pages web personnalisées sans connaissances en codage.
Quels sont les détails techniques de la vulnérabilité XSS trouvée dans Beaver Builder ?
La vulnérabilité repérée est un XSS stocké, ce qui est plus préoccupant qu’un XSS réfléchi car le script malveillant reste sur le serveur.
Elle survient en raison d’une sanitisation insuffisante des données entrantes et d’un échappement inadéquat des sorties.
Comment la vulnérabilité a-t-elle été décrite et évaluée par Wordfence ?
Wordfence, un acteur reconnu dans la sécurité WordPress, a alerté les utilisateurs sur cette vulnérabilité affectant le widget “Button” jusqu’à la version 2.8.0.5 de Beaver Builder.
L’exploitation de cette faille nécessite un niveau d’accès de contributeur ou plus et a été évaluée à 6.4/10, la classant ainsi comme menace de niveau moyen.
Pour plus de détails sur cette vulnérabilité, vous pouvez consulter l’article sur Search Engine Journal.
Quelles mesures ont été prises pour corriger cette vulnérabilité XSS ?
En réponse à cette découverte, les développeurs de Beaver Builder ont publié un correctif dans la version 2.8.0.7.
Le changelog officiel fait état de la correction d’un problème XSS dans les modules “Button & Button Group” liés à la fonctionnalité de lightbox.
Quelles actions sont recommandées pour protéger les sites utilisant Beaver Builder ?
Il est vivement recommandé aux utilisateurs de mettre à jour le plugin Beaver Builder vers la dernière version afin de corriger cette vulnérabilité.
Avant de procéder à la mise à jour, il est conseillé de tester les changements sur un environnement de pré-production pour éviter tout conflit avec d’autres extensions ou thèmes installés.