Mises à jours de sécurité wordpress importantes semaine 20

WP Serveur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues :

Plugins WordPress

  • LayerSlider <= 6.2.0 - CSRF / Authenticated Stored XSS & SQL Injection
  • Ultimate Addons for Visual Composer <= 3.16.11 - Authenticated XSS, CSRF, RCE
  • Tracking Code Manager - Authenticated XSS, CSRF & DoS
  • User Access Manager - Authenticated Reflected Cross-Site Scripting (XSS)
  • MSMC – Redirect After Comment - Unauthenticated XSS & CSRF
  • Clean Login <= 1.7.12 - Change Redirect URL CSRF
  • Download Monitor <= 1.9.6 - Unauthenticated Downloading of Logs

 

Thèmes WordPress

  • Avada Theme <= 5.1.4 - Stored Cross-Site Scripting (XSS) & CSRF
  • Atahualpa Theme - Authenticated Cross-Site Scripting (XSS)
  • Javo Spot Premium Theme - Unauthenticated Directory Traversal
  • PageLines Platform Theme <= 1.1.4 - Cross-Site Request Forgery (CSRF)
  • Headway Theme <= 3.8.8 - Authenticated Cross-Site Scripting (XSS)
  • Neosense Theme <= 1.7 - Unrestricted File Upload
  • Akal Theme - Reflected Cross-Site Scripting (XSS)
  • ColorWay <= 3.4.1 - Cross-Site Scripting (XSS)

 

Failles WordPress

  • WordPress 2.7.0-4.7.4 - Insufficient Redirect Validation
  • WordPress 2.5.0-4.7.4 - Post Meta Data Values Improper Handling in XML-RPC
  • WordPress 3.4.0-4.7.4 - XML-RPC Post Meta Data Lack of Capability Checks
  • WordPress 2.5.0-4.7.4 - Filesystem Credentials Dialog CSRF
  • WordPress 3.3-4.7.4 - Large File Upload Error XSS
  • WordPress 3.4.0-4.7.4 - Customizer XSS & CSRF
  • WordPress 2.3-4.7.4 - Host Header Injection in Password Reset *

* Un patch de sécurité a été installé par l'équipe WPServeur pour cette faille. Pour plus d'information sur cette faille de sécurité, vous pouvez lire cet article : http://www.blogdumoderateur.com/wordpress-faille-mot-de-passe-admin/

MISE A JOUR WORDPRESS 4.7.5

WordPress 4.7.5 est dorénavant disponible. Il est nécessaire de réaliser cette mise à jour au plus vite

URGENT : METTEZ A JOUR VOS WORDPRESS EN 4.7.5

WordPress 4.7.4 et les versions antérieures sont affectés par 6 failles de sécurité

  1. Validation de redirection insuffisante dans la classe HTTP. Rapporté par Ronni Skansing.
  2. Manipulation incorrecte des valeurs des Post meta data dans l'API XML RPC. Rapporté par Sam Thomas.
  3. Manque de vérifications pour les métas données dans l'API XML-RPC. Rapporté par Ben Bidner de the WordPress Security Team.
  4. une vulnérabilité de type Cross Site Request a été découverte dans le dialogue des informations de connexion du système de fichiers. Rapporté par Yorick Koster.
  5. Une vulnérabilité Cross-site scripting (XSS) a été découverte pour la tentative de téléchargement de fichiers très volumineux. Rapporté par Ronni Skansing.
  6. Une vulnérabilité Cross-site scripting (XSS) a été découverte au niveau du Customizer. Rapporté par Weston Ruter de the WordPress Security Team.

Merci aux rapporteurs pour la pratique de la divulgation responsable.

En complément des failles de sécurité ci dessus, WordPress 4.7.5 corrige 3 bugs de la série 4.7. Pour plus d'informations, lire les notes de la version 4.7.5 ou alors consulter la liste des changements

Téléchargez la version 4.7.5 ou rendez vous sur votre tableau de bord => Mise à jour et cliquez simplement sur "Mettre à jour maintenant". Les sites qui supportent les mises à jours automatiques ont déjà commencés à être mis à jour vers WordPress 4.7.5

Source : https://wordpress.org/news/2017/05/wordpress-4-7-5/

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Envie d'un WordPress mieux sécurisé ?