WPServeur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues.
28 000 compte Godaddy ont été compromis cette semaine, si vous utilisez leur service, modifiez le mot de passe de votre compte Godaddy.

Plugins WordPress :

  • Elementor < 2.9.8 - SVG Sanitizer Bypass leading to Authenticated Stored XSS
  • Advanced Order Export For WooCommerce < 3.1.4 - Authenticated Cross-Site Scripting (XSS)
  • WTI Like Post <= 1.4.5 - Authenticated Stored Cross-Site Scripting (XSS)
  • Learnpress < 3.2.6.8 - Authenticated Time Based Blind SQL Injection
  • Ninja Forms < 3.4.24.2 - CSRF to XSS
  • Gmedia Photo Gallery < 1.18.5 - Multiple Cross-Site Scripting (XSS)
  • Quick Page/Post redirect <= 5.1.9 - Authenticated Settings Update
  • WP-Advanced-Search < 3.3.7 - Authenticated SQL Injection
  • Real-Time Find and Replace < 4.0.2 - Cross-Site Request Forgery to Stored Cross-Site Scripting

Thèmes WordPress :

  • Avada < 6.2.3 - Missing Permission Checks leading to Arbitrary Post Creation, Edition, Deletion and Stored XSS
  • OneTone <= 3.0.6 - Unauthenticated Stored Cross-Site Scripting (XSS)
  • Fruitful < 3.8.2 - Authenticated Stored XSS & Theme Options Deletion
  • Fruitful Theme <= 3.8 - Unauthenticated Reflected Cross-Site Scripting (XSS)
  • CarSpot < 2.2.1 - Multiple Vulnerabilities
  • ListingPro < 2.5.4 - Unauthenticated Reflected XSS

Failles WordPress :

  • WordPress < 5.4.1 - Authenticated Cross-Site Scripting (XSS) in Customizer
  • WordPress < 5.4.1 - Authenticated Cross-Site Scripting (XSS) in File Uploads
  • WordPress < 5.4.1 - Authenticated Cross-Site Scripting (XSS) in Search Block
  • WordPress < 5.4.1 - Password Reset Tokens Failed to Be Properly Invalidated
  • WordPress < 5.4.1 - Stored Cross-Site Scripting (XSS) in Customizer
  • WordPress < 5.4.1 - Cross-Site Scripting (XSS) in wp-object-cache
  • WordPress < 5.4.1 - Unauthenticated Users View Private Posts

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Vous avez envie d'un WordPress plus sécurisé ?