Vulnérabilité dans le plugin WordPress Plus Addons for Elementor

Date de publication : 29/09/2022

CVE-2021-24175[Score CVSS v3 : 9.8] (critique) : Une vulnérabilité au sein du plugin Plus Addons for Elementor a été découverte. Ce module permet d’ajouter des fonctionnalités au plugin WordPress Elementor. L'exploitation de cette faille peut permettre à un attaquant distant et non-authentifié de créer un compte administrateur illégitime sur l es sites web vulnérables.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Elévation de privilèges
Violation des politiques de sécurité

Criticité

Score CVSS v3 : 9.8 (critique)

Existence d’un code d’exploitation

CWE-287: Improper Authentication
Cette vulnérabilité a été signalée comme activement exploitée.

Composants vulnérables

Les versions de theplus_elementor_addon jusqu’à 4.1.5 sont impactées par cette vulnérabilité.

CVE

CVE-2021-24175

Solutions ou recommandations

Mise en place de correctifs de sécurité

Aucun correctif de sécurité n’a encore été publié.

Solution de contournement

Il est vivement conseillé de désactiver le plugin theplus_elementor_addon dans l’attente d’une mise à jour corrigeant cette vulnérabilité.

Liens

Critical 0-day in The Plus Addons for Elementor Allows Site Takeover