Failles de sécurité Plugins WordPress semaine 47

Sécurité WordPress

Publié le 20 novembre 2020

WPServeur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues.

Plugins WordPress :

  • Easy Registration Forms <= 2.0.6 - CSV Injection
  • Import and export users and customers <= 1.16.3.5 - CSV Injection
  • Fancy Product Designer < 4.5.1 - Unauthenticated Stored Cross-Site Scripting
  • Contextual Related Posts < 2.9.4 - CSRF Nonce Validation Bypass
  • Ultimate Member < 2.1.12 - Unauthenticated Privilege Escalation via User Roles and Profile update
  • Abandoned Cart Lite for WooCommerce < 5.8.3 - Unauthenticated SQL Injection
  • WooCommerce Blocks < 3.7.1 - Guest Account Creation
  • WooCommerce < 4.6.2 - Guest Account Creation
  • Augmented Reality <= 1.2.0 - Unauthenticated PHP File Upload leading to RCE
  • Welcart e-Commerce < 1.9.36 - Authenticated PHP Object Injection
  • GDPR CCPA Compliance Support < 2.4 - Unauthenticated PHP Object Injection

Thèmes WordPress :

  • Greenmart < 2.5.2 - Unauthenticated Reflected Cross-Site Scripting (XSS)
  • Multiple Themes - Unauthenticated Function Injection
  • JobMonster < 4.6.6.1 - Directory Listing in Upload Folder
  • Geo Magazine <= 2.0 - Unauthenticated Reflected XSS
  • Home Villas <= 2.2 - Multiple Cross-Site Scripting Issues
  • Nova Lite < 1.3.9 - Unauthenticated Reflected Cross-Site Scripting (XSS)
  • Konzept < 2.5 - Unauthenticated Reflected XSS

Failles WordPress :

  • WordPress < 5.5.2 - Cross-Site Scripting (XSS) via Global Variables
  • WordPress < 5.4.2 - Authenticated XSS via Media Files
  • WordPress < 5.4.2 - Authenticated XSS via Theme Upload
  • WordPress < 5.4.2 - Disclosure of Password-Protected Page/Post Comments
  • WordPress < 5.4.2 - Misuse of set-screen-option Leading to Privilege Escalation
  • WordPress < 5.4.2 - Open Redirection
  • WordPress < 5.4.2 - Authenticated XSS in Block Editor
  • WordPress < 5.4.1 - Authenticated Cross-Site Scripting (XSS) in Customizer

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection : faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Vous avez envie d'un WordPress plus sécurisé ?

CLIQUEZ ICI POUR EN SAVOIR PLUS

Support téléphonique

+33 972 497 264

Contactez nous par téléphone du lundi au vendredi de 10h00 à 12h00, de 14h00 à 18h00 et le samedi de 09h00 à 12h00.

Avis

Isabelle VIGIER

Hébergeur qui n'est pas un simple hébergeur... Mon site fonctionne bien et vite. Je ne suis pas une as de l'informatique et chaque fois que j'ai eu un problème avec mon site, j'ai pu avoir une réponse simple - et une solution ! - très rapidement de la part du support technique. C'est une sécurité, un gain de temps et d'énergie. Sans compter sur les services spécifiques à WPServeur, les extensions à disposition et les nombreuses explications.

anais havage

Site qui fonctionne facilement et rapidement. J'ai eu besoin du support à 3 reprises. J'ai toujours eu une réponse extrêmement rapide (2 ou 3 min). Explications claires et précises. Problème résolu dans l'heure qui suit. Génial! Grande patience et très bon suivit de toutes les personnes que j'ai pu contacter. Pourtant je ne suis pas douée en informatique ! Un grand merci à toute l'équipe !

Nobuki Kato

Je suis venu d'OVH chez qui je n'ai eu que des déboires. Ma base de donnés a failli exploser et j'ai sauvé mon site de justesse en passant chez WPServeur. Les développeurs sont toujours réactifs, me donnent des conseils pertinents. Le plus important : mon site tourne bien aujourd'hui. Dès qu'il y a un soucis, je peux compter sur eux. Merci.

Articles récents

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 07

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 06

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 05

Articles en rapport