Un plugin WordPress populaire utilisé dans plus d’un million de sites, est avéré contenir une vulnérabilité critique qui pourrait entraîner l'exécution de code arbitraire à distance sur des sites Web compromis.

Ce plugin « Essential Addons for Elementor » fournit aux propriétaires de sites WordPress une bibliothèque de plus de 80 éléments et extensions pour aider à concevoir et à personnaliser les pages et les articles.

Selon le rapport de PatchStack, la faille permet à un utilisateur non authentifié d’effectuer une attaque d’inclusion de fichier local, telle qu’un fichier PHP malveillant, pour effectuer un RCE (exécution de code à distance). Cette vulnérabilité existe à cause de la façon dont les données d’entrée utilisateur sont utilisées à l’intérieur de la fonction include de PHP.

La vulnérabilité n'existe que si l'on utilise des widgets comme la galerie dynamique et la galerie de produits.

Le bogue affecte la version 5.0.4 et antérieure. Suite à la divulgation du problème, la faille de sécurité a finalement été corrigée dans la version 5.0.5 publiée le 28 janvier après plusieurs correctifs insuffisants.