Une vulnérabilité a été découverte dans Elementor, à partir de la version 3.6.0, qui permet à un attaquant de télécharger du code arbitraire et d’organiser une prise de contrôle complète du site. La faille a été introduite par un manque de politiques de sécurité appropriées dans une nouvelle fonctionnalité d’assistant “Onboarding”.
Vérifications de capacité manquantes
La faille dans Elementor était liée à ce que l’on appelle les contrôles de capacité.
Un contrôle de capacité est une couche de sécurité que tous les fabricants de plugins sont obligés de coder. Ce que fait la vérification de capacité, c’est de vérifier le niveau d’autorisation de tout utilisateur connecté.
Par exemple, une personne disposant d’une autorisation de niveau abonné peut être en mesure de soumettre des commentaires sur des articles, mais elle n’aura pas les niveaux d’autorisation lui permettant d’accéder à l’écran d’édition de WordPress pour publier des articles sur le site.
Les rôles d’utilisateur peuvent être administrateur, éditeur, abonné, etc., chaque niveau contenant des capacités d’utilisateur qui sont attribuées à chaque rôle d’utilisateur.
Lorsqu’un plugin exécute du code, il est censé vérifier si l’utilisateur a une capacité suffisante pour exécuter ce code.
WordPress a publié un manuel des plugins qui traite spécifiquement de cet important contrôle de sécurité.
Le chapitre s’intitule, Vérification des capacités de l’utilisateur et il décrit ce que les fabricants de plugins doivent savoir sur ce type de contrôle de sécurité.
Le manuel WordPress conseille :
“Vérification des capacités de l’utilisateur
Si votre plugin permet aux utilisateurs de soumettre des données, que ce soit du côté administrateur ou public, il doit vérifier les capacités de l’utilisateur.
… L’étape la plus importante dans la création d’une couche de sécurité efficace consiste à mettre en place un système d’autorisation des utilisateurs. WordPress fournit cela sous la forme de rôles et de capacités d’utilisateur.
Elementor version 3.6.0 a introduit un nouveau module (module d’intégration) qui n’incluait pas les vérifications de capacités.
Le problème avec Elementor n’est donc pas que les pirates ont été intelligents et ont découvert un moyen de prendre le contrôle complet des sites Web basés sur Elementor.
L’exploit dans Elementor était dû à une incapacité à utiliser les contrôles de capacité là où ils étaient censés le faire.
Selon le rapport publié par Wordfence :
“Malheureusement, aucun contrôle de capacité n’a été utilisé dans les versions vulnérables.
Un attaquant pourrait créer un faux fichier zip malveillant du plug-in “Elementor Pro” et utiliser cette fonction pour l’installer.
Tout code présent dans le faux plugin serait exécuté, ce qui pourrait être utilisé pour reprendre le site ou accéder à des ressources supplémentaires sur le serveur.
Action recommandée
La vulnérabilité a été introduite dans Elementor version 3.6.0 et n’existe donc pas dans les versions antérieures à celle-ci.
Wordfence recommande aux éditeurs de mettre à jour vers la version 3.6.3.
Cependant, l’officiel Journal des modifications d’élémentor indique que la version 3.6.4 corrige les problèmes de nettoyage liés au module de l’assistant d’intégration concerné.
C’est donc probablement une bonne idée de mettre à jour vers Elementor 3.6.4.
Capture d’écran du journal des modifications du plugin Elementor WordPress
<img src="https://cdn.searchenginejournal.com/wp-content/uploads/2022/04/elementor-vulnerability-rce-62571b814dee9-sej.png" alt="Capture d'écran du journal des modifications du plugin Elementor WordPress" />
Citation
Lire le rapport Wordfence sur la vulnérabilité Elementor
Vulnérabilité critique d’exécution de code à distance dans Elementor
— to www.searchenginejournal.com
Jeu de briques
Snake
Pacman
Bubble