Une vulnérabilité zero day est une vulnérabilité que les pirates informatiques connaissent mais pour laquelle le développeur du logiciel n'a pas de correctif pour l'arrêter.
Normalement, une vulnérabilité est découverte et le développeur du logiciel a le temps de la corriger avant que la faille ne soit découverte par des pirates. C'est pourquoi les vulnérabilités zero day sont considérées comme très préoccupantes, car les sites Web sont susceptibles d'être piratés entre la découverte de la vulnérabilité et la publication d'un correctif.
Le plugin de WordPress "Plus Addons" pour Elementor est une suite de plus d'une centaine de widgets, de modèles et de blocs qui étend les possibilités de conception pour les sites qui utilisent le plugin de création de page Elementor.
Elementor est un plugin de création de page qui étend l'éditeur WordPress natif pour faciliter la création de sites Web attrayants.
La vulnérabilité n'est cependant pas sur Elementor. La vulnérabilité existe sur un plugin qui ajoute des options de conception sur le plugin Elementor.
Selon les chercheurs en sécurité de Wordfence, les modules de widgets d'enregistrement et de connexion du plugin sont le vecteur d'attaque.
«Si vous utilisez le plugin The Plus Addons pour Elementor, nous vous recommandons fortement de désactiver et de supprimer complètement le plugin jusqu'à ce que cette vulnérabilité soit corrigée. Si la version gratuite suffit à vos besoins, vous pouvez passer à cette version pour le moment.
Si la fonctionnalité de votre site dépend de ce plugin, nous vous recommandons de supprimer complètement tout widget d'inscription ou de connexion ajouté par le plugin et de désactiver l'enregistrement sur votre site. Aucune version corrigée n'est disponible au moment de cette publication. »
Il a été découvert plus tard que la désactivation du widget WP Login & Register ne suffit pas pour éviter d'être piraté.
«… Les vulnérabilités sont toujours exploitables même si le widget« WP Login & Register »est désactivé. Pour cette raison, nous vous recommandons de désactiver et de supprimer temporairement le plug-in jusqu'à ce qu'un correctif soit publié. »
Pour en savoir plus, visitez le site de Wordfence sur: https://www.wordfence.com/blog/2021/03/critical-0-day-in-the-plus-addons-for-elementor-allows-site-takeover/
{{r.reply}}
Your comment was submitted for review. It will start display once it was approved by Admin
Rapidenet Canada est un hébergeur de sites web et d'infrastructure de serveurs web optimisés sur les performances et la sécurité des sites web. Le siège social de Rapidenet est situé au Québec. Un hébergeur web au Canada avec une équipe de professionnels en ligne dédiés à aider les petites et les grandes entreprises canadiennes à s'établir et à réussir sur internet.
