Les acteurs de la menace ciblent activement une vulnérabilité dans le plugin Elementor Pro pour WordPress afin de compromettre les sites Web, a averti Defiant, la société de sécurité WordPress cette semaine.

Avec une base d’installation estimée à plus d’un million de sites Web, Elementor Pro est la version payante du plugin gratuit Elementor (qui compte plus de 4 millions d’utilisateurs), un constructeur de pages par glisser-déposer. Seul Elementor Pro, disponible en téléchargement séparé, est affecté par la vulnérabilité.

Évaluée avec un score CVSS de 9,9, la vulnérabilité peut être exploitée par des attaquants authentifiés pour télécharger des fichiers arbitraires et exécuter du code à distance sur les sites Web concernés.

Lorsque les attaques ont été repérées pour la première fois le 6 mai, il s’agissait d’une vulnérabilité de jour zéro, car les attaquants exploitaient déjà activement la faille et aucun correctif n’était disponible pour les utilisateurs d’Elementor Pro.

« Un attaquant capable d’exécuter du code à distance sur votre site peut installer une porte dérobée ou une webshell pour maintenir l’accès, obtenir un accès administratif complet à WordPress, ou même supprimer complètement votre site », explique Defiant.

Elementor a publié un correctif pour la vulnérabilité le 7 mai. La version 2.9.4 d’Elementor Pro résout le problème et les utilisateurs sont invités à mettre à jour immédiatement.

Dans le cadre des attaques observées, l’acteur de la menace cible directement la vulnérabilité sur les sites Web avec enregistrement ouvert des utilisateurs.

Si le site n’a pas activé l’enregistrement des utilisateurs, les attaquants tentent d’exploiter une vulnérabilité récemment corrigée dans le plugin Ultimate Addons pour Elementor, qui leur permet de contourner l’enregistrement et de créer des comptes d’abonné.

Ensuite, en exploitant les comptes nouvellement créés, les attaquants exploitent la vulnérabilité Elementor Pro pour réaliser l’exécution de code à distance.

Ultimate Addons pour Elementor version 1.24.2 corrige la faille de contournement d’enregistrement et les utilisateurs sont invités à mettre à jour dès que possible, surtout s’ils utilisent le plugin avec Elementor Pro.

Les administrateurs sont également invités à vérifier leurs sites pour tout utilisateur inconnu au niveau de l’abonné, et à rechercher des fichiers …