| Nom du plugin | Master Addons pour Elementor |
|---|---|
| Type de vulnérabilité | Script intersite (XSS) |
| Numéro CVE | CVE-2024-5542 |
| Urgence | Moyen |
| Date de publication CVE | 2026-02-13 |
| URL source | CVE-2024-5542 |
Avis de sécurité urgent — CVE-2024-5542 : XSS stocké non authentifié dans Master Addons pour Elementor (≤ 2.0.6.1) et comment protéger vos sites
Résumé : Une vulnérabilité de Cross‑Site Scripting (XSS) stockée (CVE‑2024‑5542, CVSS 7.2) a été divulguée dans le plugin Master Addons pour Elementor affectant les versions ≤ 2.0.6.1. La faille permet aux attaquants non authentifiés de stocker du contenu de script malveillant via le widget Menu de navigation qui est ensuite rendu aux visiteurs du site. Cet avis explique comment le problème fonctionne, qui est à risque, les techniques de détection, les atténuations immédiates et à long terme, ainsi que les étapes de confinement que vous devez prendre maintenant.
Faits rapides
- Vulnérabilité : Cross‑Site Scripting (XSS) stocké non authentifié
- Logiciel affecté : Master Addons pour Elementor (plugin)
- Versions affectées : ≤ 2.0.6.1
- Version corrigée : 2.0.6.2 (mettez à jour immédiatement lorsque possible)
- CVE : CVE‑2024‑5542
- CVSS (v3.1) : 7.2 (Élevé / Moyen selon l'environnement)
- Privilège requis : Aucun (Non authentifié)
- Impact : Exécution de script dans le contexte des visiteurs (XSS stocké), vol possible de cookies/tokens, actions forcées, injection iFrame, ou pivot vers des utilisateurs administratifs
Qu'est-ce que le XSS stocké et pourquoi est-ce important
Le Cross‑Site Scripting (XSS) stocké se produit lorsqu'une application persiste le contenu fourni par l'attaquant et le sert ensuite à d'autres utilisateurs sans une désinfection ou un échappement adéquats. Les charges utiles persistantes s'exécutent chaque fois qu'une page rend ce contenu, rendant le XSS stocké plus dangereux que les variantes transitoires (réfléchies).
Pourquoi c'est dangereux :
- Persistance : Les charges utiles s'exécutent à chaque chargement de page qui inclut le contenu stocké.
- Large exposition : Des composants communs tels que les menus et les widgets peuvent exposer de nombreux visiteurs.
- Cibles élevées : Si les administrateurs consultent une page infectée tout en étant connectés, la charge utile peut accéder aux cookies ou jetons privilégiés et escalader l'attaque.
- Data theft & account takeover: JavaScript can exfiltrate session cookies, auth tokens, or perform actions on behalf of the user.
- Dommages SEO et réputationnels : Le code injecté peut livrer du spam, des redirections ou des logiciels malveillants, nuisant aux classements et à la confiance des utilisateurs.
Parce que le problème signalé est un XSS stocké non authentifié, l'attaquant n'a pas besoin d'avoir un compte pour persister du contenu malveillant — rendant une remédiation rapide essentielle.
Problème du widget Menu de navigation de Master Addons — résumé technique
Résumé de la vulnérabilité basé sur la divulgation publique et l'analyse technique :
- Le plugin expose un widget de menu de navigation qui accepte du contenu pour le rendu des menus (étiquettes, liens, paramètres).
- Un point de terminaison gérant les paramètres de widget/menu permettait des requêtes HTTP non authentifiées pour soumettre des données qui sont stockées par le plugin, en raison de contrôles d'autorisation manquants ou insuffisants.
- Les données soumises (par exemple, une étiquette d'élément de menu) n'étaient pas suffisamment assainies/échappées lors de l'affichage en front-end, entraînant l'exécution de scripts dans les navigateurs des visiteurs.
- Parce que le XSS est stocké, la charge utile malveillante persiste jusqu'à ce qu'elle soit supprimée ou écrasée.
Modèle vulnérable typique (conceptuel) :
- Un point de terminaison accepte une charge utile POST/REST/AJAX contenant du texte de menu / des paramètres de widget et l'écrit dans la base de données sans vérifier les capacités de l'utilisateur soumettant.
- Le plugin affiche ces valeurs dans le balisage de la page sans échappement ou assainissement appropriés.
- Le navigateur exécute le script injecté lorsque la page est rendue.
L'auteur du plugin a publié un correctif dans la version 2.0.6.2 pour mettre en œuvre des contrôles d'autorisation appropriés et assainir la sortie. Appliquez cette mise à jour dès que cela est opérationnellement possible.
Qui est à risque et impacts possibles
À risque :
- Tout site WordPress exécutant Master Addons pour Elementor à la version ≤ 2.0.6.1.
- Sites avec le widget de menu de navigation vulnérable actif ou tout autre widget qui réutilise le même chemin de sauvegarde/rendu vulnérable.
- Sites avec des visiteurs publics — la vulnérabilité cible le rendu front-end et affecte tous les visiteurs et les utilisateurs connectés.
- Sites où les administrateurs, éditeurs ou utilisateurs privilégiés peuvent visiter le front-end tout en étant authentifiés.
Impacts possibles :
- Visiteurs du site web rencontrant des redirections, des popups ou des téléchargements forcés.
- Vol de données d'identification pour les utilisateurs connectés (cookies, jetons CSRF).
- Prise de contrôle de comptes d'utilisateurs privilégiés si la charge utile cible des cookies ou effectue des actions privilégiées via leur session.
- Spam SEO, liens injectés ou distribution de logiciels malveillants.
- Backdoors JavaScript persistants communiquant avec l'infrastructure de l'attaquant.
- Perte de confiance des clients et exposition réglementaire potentielle si des données personnelles sont exfiltrées.
Indicateurs de compromission (IoCs) et ce qu'il faut rechercher maintenant
Rechercher des traces couramment associées aux charges utiles XSS stockées. Les attaquants obfusquent souvent, donc recherchez des anomalies plutôt que des motifs exacts seuls.
Choses à vérifier immédiatement :
