Plateforme
wordpress
Composant
elementor
Corrigé dans
3.33.4
La vulnérabilité CVE-2025-11220 affecte le plugin Elementor pour WordPress, permettant une attaque de Cross-Site Scripting (XSS) stockée. Cette faille exploite une insuffisance de neutralisation des données fournies par l'utilisateur lors de la construction du code SVG dans le widget Text Path, permettant l'injection de scripts web arbitraires. Les versions concernées sont celles comprises entre 0.0.0 et 3.33.3 incluses, et une version corrigée (3.33.4) est disponible.
La vulnérabilité CVE-2025-11220 dans le plugin Elementor pour WordPress affecte les versions jusqu'à la 3.33.3. Elle permet une attaque de Cross-Site Scripting (XSS) stockée via le widget 'Chemin de Texte'. Un attaquant authentifié, disposant d'un accès de niveau contributeur ou supérieur, peut injecter du code JavaScript malveillant dans des pages web. Ce code s'exécutera chaque fois qu'un utilisateur accédera à la page compromise, ce qui pourrait entraîner un vol d'informations sensibles, un usurpation d'identité ou une redirection vers des sites web malveillants. Le risque est important, en particulier pour les sites web disposant d'une large base d'utilisateurs et de contenu généré par les utilisateurs.
L'attaque nécessite que l'attaquant ait un accès authentifié au site WordPress avec un niveau d'autorisation de contributeur ou supérieur. L'attaquant peut injecter le code JavaScript malveillant via le widget 'Chemin de Texte' sur une page. Une fois la page enregistrée et consultée par d'autres utilisateurs, le script s'exécute dans leurs navigateurs. La vulnérabilité réside dans le manque de validation et d'échappement appropriés des entrées utilisateur lors de la génération du code SVG, ce qui permet l'injection de balises <script> ou d'attributs onload qui peuvent exécuter du code arbitraire.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre immédiatement à jour le plugin Elementor à la version 3.33.4 ou supérieure. Cette version inclut une correction qui neutralise correctement les entrées utilisateur utilisées pour construire le balisage SVG dans le widget 'Chemin de Texte', empêchant ainsi l'exécution de scripts malveillants. En attendant, comme mesure préventive, restreignez l'accès en modification aux utilisateurs disposant d'un accès de niveau contributeur ou supérieur, limitant ainsi la capacité d'injecter du contenu potentiellement dangereux. Effectuer des sauvegardes régulières du site web est également une bonne pratique pour atténuer l'impact de toute attaque.
Mettre à jour vers la version 3.33.4, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Dans WordPress, le niveau contributeur est un rôle d'utilisateur qui permet de modifier des articles et des pages, mais pas de gérer le site en général.
Vous pouvez vérifier votre version d'Elementor en allant dans 'Extensions' dans le tableau de bord d'administration de WordPress et en recherchant 'Elementor' dans la liste.
Si vous suspectez que votre site a été compromis, vous devez modifier tous les mots de passe, analyser le site à la recherche de logiciels malveillants et restaurer une sauvegarde propre.
Oui, il est important de maintenir WordPress, toutes les extensions et les thèmes à jour, d'utiliser des mots de passe forts et d'activer un pare-feu d'applications web (WAF).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.