Failles des plugins wordpress aout 2019

Les failles des plugins WordPress, plusieurs nouvelles vulnérabilités de plugins et de thèmes WordPress ont été révélées au cours de la première quinzaine d’août. Nous tenons donc à vous tenir informés. Dans cet article, nous abordons les vulnérabilités de plugins et de thèmes WordPress récents, ainsi que la marche à suivre si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site Web.

Comment être proactif sur les vulnérabilités de thème et de plugin WordPress

L’exécution de logiciels obsolètes est la raison numéro un pour laquelle les sites WordPress sont piratés. Pour la sécurité de votre site WordPress, il est essentiel de disposer d’une routine de mise à jour. Vous devez vous connecter à vos sites au moins une fois par semaine pour effectuer des mises à jour.

Les mises à jour automatiques peuvent aider …

Les mises à jour automatiques sont un excellent choix pour les sites Web WordPress qui ne changent pas très souvent. Le manque d’attention laisse souvent ces sites négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l’exécution d’un logiciel vulnérable sur votre site peut donner à un attaquant un point d’entrée dans votre site.

Les failles dans quels plugins WordPress ?

Voilà la liste des plugins qui posent problème :

  • wp Fastest cache
  • Popup Builder
  • Email Subscribers & Newsletters
  • Ultimate members
  • Woody Ad snippets
  • Give
  • Login or Logout Menu Item
  • CForms 2
  • PPOM pour Woocommerce
  • Simple 301 Redirects Addon Bulk Uploader
  • Donation plugin
  • Booking plugin
  • Learning Courses
  • Joomsport

WP Fastest Cache

WP Fastest Cache est un plugin destiné à optimiser votre site pour le rendre plus rapide en créant des fichiers HTML statique pour chaque page consulté afin de s’en servir pour les accès suivant. Votre temps de chargement se trouve ainsi amélioré.

La version 0.8.9.5 et antérieure de WP Fastest Cache est vulnérable aux attaques de type Directory Traversal. Pour faire simple les versions antérieur du plugin a été identifiée comme étant vulnérable aux attaques de traversée de répertoire.

Les deux premiers sont uniquement Windows, le troisième est générique. Les fenêtres ceux spécifiques ont été testés sur WampServer (donc avec Apache Httpd).

Ce que vous devez faire => mettre à jour vers la version 0.8.9.6.

https://seclists.org/bugtraq/2019/Jul/53

Popup Builder

faille-plugin-wordpress-popupbuilder

Popup Builder est un plugin pour créez et gérez de puissants popups de promotion pour votre blog ou site web WordPress. En version 3.44 et inférieure est vulnérable à une injection SQL.

Ce que vous devez faire => mettre à jour vers la version 3.45

Email Subscribers & Newsletters

Email Subscribers & Newsletters dans sa version 4.1.6 et antérieures, le plugin est vulnérable aux attaques de type ” Cross-Site Scripting” .

Ce que vous devez faire => mettre à jour vers la version 4.1.7

Ultimate Member

Ultimate Member est le plug-in de profil utilisateur et d’adhésion n ° 1 pour WordPress. Grâce au plugin, les utilisateurs peuvent s’inscrire et devenir membre de votre site web en un clin d’œil.  Dans sa version 4.1.6 et antérieures, le plugin est vulnérable aux attaques de type ” Cross-Site Scripting” .

Ce que vous devez faire => mettre à jour vers la version 2.0.53

Woody Ad Snippets

failles-plugin-wordpress-woody-adsnippets

Woody Ad snippets permet de créer et de stocker des extraits de code ou du texte dupliqué dans une bibliothèque spéciale située dans la barre d’administration de votre site Web. Utilisez le shortcode pour ajouter un extrait n’importe où sur votre site Web. Dans sa version 2.2.4 et antérieures est vulnérable à une importation d’options non authentifiées et à des problèmes XSS stockés pouvant conduire à une exploitation par exécution de code à distance .

Ce que vous devez faire => mettre à jour vers la version 2.2.5

Give

Give est le plugin de don le mieux noté, le plus téléchargé et le mieux pris en charge pour WordPress. Construit à partir de la base pour tous vos besoins en matière de collecte de fonds, Give vous fournit une puissante plate-forme de dons optimisée pour les dons en ligne. Dans sa version 2.5.0 et inférieure il est vulnérable à une injection SQL .

Ce que vous devez faire => mettre à jour vers la version 2.5.1

Login or Logout Menu Item

Login or Logout Menu Item, avec ce plugin, vous pouvez facilement ajouter un élément de menu dynamique de connexion / déconnexion à n’importe quel menu de votre site WordPress. Dans sa version 1.1.1 et inférieure, il est vulnérable à une modification des options non authentifiées . Cet exploit permettrait à un attaquant de modifier le lien vers l’URL de connexion et de rediriger les utilisateurs vers un faux formulaire de connexion. Une fois que l’utilisateur a rempli le formulaire de connexion malveillant, l’attaquant disposera de ses informations d’identification pour accéder à votre site.

Ce que vous devez faire => mettre à jour vers la version 1.2.0

cforms2

Cforms2 est un plugin hautement personnalisable, flexible et puissant pour la création de formulaires, couvrant une variété de cas d’utilisation et de fonctionnalités. Dans sa version 15.0.1 et inférieure il est vulnérable aux attaques par falsification de requêtes intersites et par injection HTML .

Ce que vous devez faire => mettre à jour vers la version 15.0.2

PPOM pour WooCommerce

failles-plugin-wordpress-PPOM-WooCommerce

PPOM pour WooCommerce  (gestionnaire d’options de produit personnalisé) ajoute des champs de saisie sur la page du produit pour personnaliser votre produit.  Dans sa version 18.3 et antérieures de WooCommerce il est vulnérable aux attaques par XSS authentifié et stocké .

Ce que vous devez faire => mettre à jour vers la version 18.4

Simple 301 Redirects addon Bulk Uploader

Simple 301 Redirect addon Bulk Uploader est un plugin ADDON pour donner plus de fonctionnalités au plugin Simple 301 Redirects plugin. Dans sa version 1.2.4 et antérieure il est vulnérable à une modification des options non authentifiées . Cet exploit permet à un utilisateur non authentifié de rediriger toutes les pages vers un site malveillant.

Ce que vous devez faire => mettre à jour vers la version 1.2.5

Donation plugin

Avec Donation plugin vous pouvez recevoir des dons pour les causes créées sur votre site. Le plugin est intégré à PayPal pour permettre les dons avec les cartes de crédit les plus célèbres. Dans la version 1.3 et antérieures de ND Don il est vulnérable à une modification des options non authentifiées . Cet exploit permet à un utilisateur non authentifié d’ajuster plusieurs paramètres WordPress. Cela permettrait à l’attaquant de créer un nouvel utilisateur, puis de changer le rôle d’utilisateur en Admin.

Ce que vous devez faire => mettre à jour vers la version 1.3.1

Booking pluging

failles-plugin-wordpress-booking

Booking plugin est un système utile pour gérer toutes vos réservations. Dans sa version 2.4 et inférieure il est vulnérable à une modification des options non authentifiées. Cet exploit permet à un utilisateur non authentifié d’ajuster un certain nombre de paramètres WordPress et d’autoriser l’attaquant à créer un nouvel utilisateur, puis à changer le rôle de l’utilisateur en administrateur.

Ce que vous devez faire => mettre à jour vers la version 2.4.2

Learning Courses

Learning Courses est un LMS. Il vous aide et vous accompagne dans le processus d’apprentissage ou un parcours pédagogique.  Dans sa version 4.7 et antérieures, il est vulnérable à une modification des options non authentifiées . Cet exploit permet à un utilisateur non authentifié d’ajuster plusieurs paramètres WordPress et permettrait à l’attaquant de créer un nouvel utilisateur, puis de changer le rôle de l’utilisateur en administrateur.

Ce que vous devez faire => mettre à jour vers la version 4.8

 JoomSport

Joomsport est une solution complexe pour construire efficacement votre site web sportif. Développé depuis 2009, JoomSport offre les fonctionnalités indispensables à tous les sites sportifs: classement des ligues sportives, installations, équipes sportives avec description, historique des matchs, statistiques et photos, joueurs avec leurs profils, photos et réalisations personnelles, matchs avec score et détails de jeu, et enfin tout cela a été structuré en saisons et en ligues bien structurées. Dans sa version 3.3 et inférieure, elle est vulnérable à une injection SQL .

Ce que vous devez faire => mettre à jour vers la version3.4

Leave a Reply

Your email address will not be published. Required fields are marked *

17 + 18 =