Une faille critique dans le plugin Elementor WordPress peut affecter 500 000 sites

RCE flaw in the Elementor plugin affects around 500,000 sites

Les auteurs du plugin Elementor Website Builder pour WordPress viennent de publier la version 3.6.3 pour corriger une faille critique d’exécution de code à distance qui peut affecter jusqu’à 500 000 sites Web.

Bien que l’exploitation de la faille nécessite une authentification, sa gravité critique est donnée par le fait que toute personne connectée au site Web vulnérable peut l’exploiter, y compris les abonnés réguliers.

Un acteur malveillant créant un compte d’utilisateur normal sur un site Web affecté pourrait modifier le nom et le thème du site concerné, ce qui lui donnerait un aspect complètement différent.

Les chercheurs en sécurité pensent qu’un utilisateur non connecté pourrait également exploiter la faille récemment corrigée du plugin Elementor, mais ils n’ont pas confirmé ce scénario.

Détails de la vulnérabilité

Dans un rapport publié cette semaine par des chercheurs du service de sécurité WordPress Plugin Vulnerabilities, qui ont trouvé la vulnérabilité, décrivent les détails techniques derrière le problème dans Elementor.

Le problème réside dans l’absence d’un contrôle d’accès crucial sur l’un des fichiers du plugin, « module.php », qui est chargé à chaque requête pendant le admin_init action, même pour les utilisateurs qui ne sont pas connectés, expliquent les chercheurs.

« La vulnérabilité RCE que nous avons trouvée implique la fonction upload_and_install_pro() accessible via la fonction précédente. Cette fonction installera un plugin WordPress envoyé avec la requête » – Vulnérabilités des plugins

Une des fonctions déclenchées par le admin_init L’action permet le téléchargement de fichiers sous la forme d’un plugin WordPress. Un acteur malveillant pourrait y placer un fichier malveillant pour obtenir l’exécution de code à distance.

La fonction de téléchargement de fichiers
La fonction de téléchargement de fichier (Vulnérabilités des plugins)
Activation du plugin malveillant injecté
Activation du plugin malveillant injecté (VP)

Les chercheurs disent que la seule restriction en place est l’accès à un nonce valide. Cependant, ils ont découvert que le nonce pertinent est présent dans « le code source des pages d’administration de WordPress qui démarre ‘elementorCommonConfig’, qui est inclus lorsqu’il est connecté en tant qu’utilisateur avec le rôle d’abonné ».

Impact et fixation

Selon Plugin Vulnerabilities, le problème a été introduit avec Elementor 3.6.0, publié le 22 mars 2022.

Les statistiques de WordPress indiquent qu’environ 30,7 % des utilisateurs d’Elementor sont passés à la version 3.6.x, ce qui indique que le nombre maximum de sites potentiellement concernés est d’environ 1 500 000.

Le plugin a été téléchargé un peu plus d’un million de fois aujourd’hui. En supposant qu’ils étaient tous pour 3.6.3, il doit encore y avoir environ 500 000 sites Web vulnérables.

La dernière version inclut un engagement qui implémente une vérification supplémentaire sur l’accès nonce, en utilisant la fonction WordPress « current_user_can ».

S'engager dans Elementor pour corriger la faille de sécurité
S’engager dans Elementor pour corriger la faille de sécurité (WordPress)

Bien que cela devrait combler la lacune de sécurité, les chercheurs n’ont pas encore validé le correctif et l’équipe Elementor n’a publié aucun détail sur le correctif.

EZpublish-france.fr a contacté l’équipe de sécurité d’Elementor et mettra à jour cet article dès que nous aurons reçu une réponse.

Plugin Vulnerabilities a également publié une preuve de concept (PoC) pour prouver l’exploitabilité, augmentant le risque que les sites Web vulnérables soient compromis.

Il est conseillé aux administrateurs d’appliquer la dernière mise à jour disponible pour le plugin Elementor WordPress ou de supprimer complètement le plugin de votre site Web.