DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Vulnérabilité d'un plugin de WordPress
Réference	1052
Date de Publication	2023-10-17
Sévérité	Critique

IMPACT :

Contournement de la politique de sécurité
Exécution de code arbitraire à distance
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données

SYSTÉME AFFECTÉ :

Plugin «Royal Elementor Addons and Templates» versions antérieures à la version 1.3.78

DÉSCRIPTION :

Une vulnérabilité critique du plugin "Royal Elementor Addons and Templates" de WordPress a été découverte et corrigée par WordPress. Elle pourrait permettre à un attaquant distant de prendre le contrôle total du site web vulnérable ou d'exécuter du code arbitraire à distance .

NB: Cette faille est activement exploitée.

SOLUTION :

Mettre à jour vos produits WordPress Plugin «Royal Elementor Addons and Templates» (se réfère à la section documentation)

DOCUMENTATION :

Bulletin de sécurité de Wordfence

https://www.wordfence.com/blog/2023/10/psa-critical-unauthenticated-arbitrary-file-uploadvulnerability-in-royal-elementor-addons-and-templates-being-actively-exploited/

CVE-2023-5360

https://www.cve.org/CVERecord?id=CVE-2023-5360