WPServeur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues. Pour les plugins de WPServeur, nous avons immédiatement corrigé ces failles et publié les mises à jour correctives sur le répertoire WordPress. Nous avons également forcé les mises à jour sur les sites des clients WPServeur.

Plugins WordPress :

  • WPS Hide Login  < = 1.5.2.2 - Protection ByPass -> Corrigée avec la version 1.5.3
  • WPS Limit Login  < = 1.4.5 - Protection ByPass & CSRF to Stored XSS -> Corrigée avec la version 1.4.6.1
  • WPS Cleaner < = 1.4.4 - Disclose & CSRF -> Corrigée avec la version 1.4.5
  • WPS Bidouille < = 1.12.2 - CSRF -> Corrigée avec la version 1.22.4
  • WPS Child Theme Generator < = 1.1 - Directory Traversal -> Corrigée avec la version 1.2
  • Email Subscribers & Newsletters <= 4.1.7 - SQL Injection
  • Adaptive Images for WordPress <= 0.6.66 - Local File Inclusion & Deletion
  • Category Specific RSS feed Subscription <= 2.0 - Cross-Site Request Forgery (CSRF)
  • Everest Forms <= 1.4.9 - SQL Injection
  • All-in-One WP Migration <= 6.97 - XSS in admin backend
  • Ultra Simple Paypal Shopping Cart <= 4.4 - Cross-Site Request Forgery (CSRF)
  • Appointment Hour Booking <= 1.1.45 - Stored Cross-Site Scripting (XSS)
  • Coming Soon Page & Maintenance Mode <= 1.8.0 - Unauthenticated Stored XSS
  • WordPress Download Manager <= 2.9.93 - Authenticated Cross-Site Scripting (XSS)
  • Yuzo Related Posts - Unauthenticated Call Any Action or Update Any Option
  • W3 Total Cache < 0.9.7.3 - Cryptographic Signature Bypass & XSS & SSRF / RCE via phar
  • All-in-One Event Calendar <= 2.5.38 - Cross-Site Scripting (XSS)
  • Ultimate Member <= 2.0.45 - Multiple Vulnerabilities (CSRF)
  • WP Live Chat Support <= 8.0.17 - Cross-Site Scripting (XSS) & File Upload Bypass & CSRF to Authenticated SQL Injection
  • ConvertPlus <= 3.4.2 - Unauthenticated Arbitrary User Role Creation
  • School Management < 57.0 - CSRF and Stored XSS
  • One Click SSL <= 1.4.6 - Multiple Issues
  • Ad Inserter <= 2.4.19 - Authenticated Path Traversal
  • WP Custom Body Class <= 0.7.0 - CSRF to Stored XSS and Settings Update
  • Ad Inserter <= 2.4.21 - Authenticated Remote Code Execution

Thèmes WordPress :

  • Enfold Theme <= 4.2 - Rewrite Portfolio Permalink Structure
  • Avada Theme <= 5.1.4 - Stored Cross-Site Scripting (XSS) & CSRF

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Vous avez envie d'un WordPress plus sécurisé ?