Failles de sécurité Plugins WordPress semaine 29

WPServeur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues. Pour les plugins de WPServeur, nous avons immédiatement corrigé ces failles et publié les mises à jour correctives sur le répertoire WordPress. Nous avons également forcé les mises à jour sur les sites des clients WPServeur.

Plugins WordPress :

  • WPS Hide Login  < = 1.5.2.2 - Protection ByPass -> Corrigée avec la version 1.5.3
  • WPS Limit Login  < = 1.4.5 - Protection ByPass & CSRF to Stored XSS -> Corrigée avec la version 1.4.6.1
  • WPS Cleaner < = 1.4.4 - Disclose & CSRF -> Corrigée avec la version 1.4.5
  • WPS Bidouille < = 1.12.2 - CSRF -> Corrigée avec la version 1.22.4
  • WPS Child Theme Generator < = 1.1 - Directory Traversal -> Corrigée avec la version 1.2
  • Email Subscribers & Newsletters <= 4.1.7 - SQL Injection
  • Adaptive Images for WordPress <= 0.6.66 - Local File Inclusion & Deletion
  • Category Specific RSS feed Subscription <= 2.0 - Cross-Site Request Forgery (CSRF)
  • Everest Forms <= 1.4.9 - SQL Injection
  • All-in-One WP Migration <= 6.97 - XSS in admin backend
  • Ultra Simple Paypal Shopping Cart <= 4.4 - Cross-Site Request Forgery (CSRF)
  • Appointment Hour Booking <= 1.1.45 - Stored Cross-Site Scripting (XSS)
  • Coming Soon Page & Maintenance Mode <= 1.8.0 - Unauthenticated Stored XSS
  • WordPress Download Manager <= 2.9.93 - Authenticated Cross-Site Scripting (XSS)
  • Yuzo Related Posts - Unauthenticated Call Any Action or Update Any Option
  • W3 Total Cache < 0.9.7.3 - Cryptographic Signature Bypass & XSS & SSRF / RCE via phar
  • All-in-One Event Calendar <= 2.5.38 - Cross-Site Scripting (XSS)
  • Ultimate Member <= 2.0.45 - Multiple Vulnerabilities (CSRF)
  • WP Live Chat Support <= 8.0.17 - Cross-Site Scripting (XSS) & File Upload Bypass & CSRF to Authenticated SQL Injection
  • ConvertPlus <= 3.4.2 - Unauthenticated Arbitrary User Role Creation
  • School Management < 57.0 - CSRF and Stored XSS
  • One Click SSL <= 1.4.6 - Multiple Issues
  • Ad Inserter <= 2.4.19 - Authenticated Path Traversal
  • WP Custom Body Class <= 0.7.0 - CSRF to Stored XSS and Settings Update
  • Ad Inserter <= 2.4.21 - Authenticated Remote Code Execution

Thèmes WordPress :

  • Enfold Theme <= 4.2 - Rewrite Portfolio Permalink Structure
  • Avada Theme <= 5.1.4 - Stored Cross-Site Scripting (XSS) & CSRF

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Vous avez envie d'un WordPress plus sécurisé ?