Le plugin Elementor Pro pour WordPress est la cible de pirates informatiques qui exploitent une vulnérabilité critique. Cette vulnérabilité affecte plus de 11 millions de sites web qui ont installé le plugin Elementor Pro.

Le plugin Elementor Pro est un constructeur de pages qui permet aux utilisateurs de créer des sites web visuellement attrayants sans avoir besoin de connaissances en matière de codage.

La vulnérabilité affecte la version 3.11.6 d'Elementor Pro et toutes les versions précédentes. Elle permet à des utilisateurs authentifiés de modifier les paramètres du site web, voire d'en prendre le contrôle complet.

La faille résulte d'un contrôle d'accès défaillant dans le module WooCommerce du plugin, permettant à n'importe quel utilisateur de modifier les options WordPress dans la base de données sans validation appropriée. L'exploitation est réalisée par l'utilisation d'une action AJAX vulnérable, pro_woocommerce_update_page_option, qui ne dispose pas d'une validation d'entrée et de contrôles de capacité appropriés.

En mars, des chercheurs ont découvert une faille critique dans le plugin WooCommerce Payments, qui compte plus d'un demi-million d'installations.

Il est donc recommandé aux utilisateurs de mettre immédiatement à jour woocommerce-payments vers la version 5.6.2, de changer les mots de passe des administrateurs et d'effectuer une rotation des clés API de WooCommerce.

Des vulnérabilités comme celles mentionnées ci-dessus apparaissent de temps à autre, soulignant la nécessité d'activer les mises à jour automatiques.