Vulnérabilité dans le plugin WordPress Plus Addons for Elementor
Date de publication :
CVE-2021-24175[Score CVSS v3 : 9.8] (critique) : Une vulnérabilité au sein du plugin Plus Addons for Elementor a été découverte. Ce module permet d’ajouter des fonctionnalités au plugin WordPress Elementor. L'exploitation de cette faille peut permettre à un attaquant distant et non-authentifié de créer un compte administrateur illégitime sur l es sites web vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 9.8 (critique)
Existence d’un code d’exploitation
- CWE-287: Improper Authentication
- Cette vulnérabilité a été signalée comme activement exploitée.
Composants vulnérables
- Les versions de theplus_elementor_addon jusqu’à 4.1.5 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Aucun correctif de sécurité n’a encore été publié.
Solution de contournement
Il est vivement conseillé de désactiver le plugin theplus_elementor_addon dans l’attente d’une mise à jour corrigeant cette vulnérabilité.