On a découvert un bogue critique dans le plug-in Elementor Website Builder de WordPress. La dernière version du plug-in résout le problème, une mise à jour rapide est donc recommandée.
Le plug-in Elementor Website Builder contenait une faille qui permettait d’exécuter du code à distance. En exploitant cette faille, le thème et le nom du site web pouvaient être modifiés.
Il n’est pas certain que l’erreur détectée puisse être exploitée sans authentification. Même si cela n’est pas possible, le risque d’exploitation reste réel. Pour l’authentification, il suffit de s’inscrire sur le site web.
lire aussi
Entrepôts de données et lacs de données dans un environnement multicloud
Elementor 3.6.0
Les chercheurs du service de sécurité WordPress Plugin Vulnerabilities ont découvert la faille et ils ont publié un rapport contenant des détails techniques à son sujet la semaine dernière.
On pense que c’est la version 3.6.0 d’Elementor qui contient l’erreur. Cette version a été publiée le mois dernier. Selon les chiffres de WordPress, cette version a été téléchargée par 30,7 % des utilisateurs d’Elementor.
Les développeurs ont maintenant publié une nouvelle version, la version 3.6.3, qui résout le problème. Beaucoup de personnes ont déjà téléchargé cette version, mais pour l’instant, environ 500 000 sites web sont encore vulnérables.