Montréal

(514) 400-3797

|

Centre-du-Québec

(819) 253-0593

Rapport de vulnérabilités Wordpress 2 novembre 2022

vulnerabilités wordpress 2 novembre 2022 pin

La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.

Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!

Vulnérabilités de WordPress

Le mardi 1er novembre, la mise à jour 6.1 de Wordpress est sortie et celle-ci présente beaucoup d’amélioration à Wordpress. Cette version ne présente aucune vulnérabilité. Vous pouvez donc l’installer sans problème!

wordpress pour votre site web

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

1. Popup Maker

Extension: Popup Maker – Popup for opt-ins, lead gen, & more
Installations: 700 000+
Vulnérabilité: Script intersite stocké dans l’Admin+
Corrigé en version: 1.16.11
Sévérité: Basse

vulnerabilités wordpress popup maker

2. Contact Form 7 Database Addon

Extension: Contact Form 7 Database Addon – CFDB7
Installations: 500 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 1.2.6.5
Sévérité: Basse

contact form 7 database vulnerabilités Wordpress

3. Ultimate Member

Extension: Ultimate Member – User Profile, User Registration, Login & Membership Plugin
Installations: 200 000+
Vulnérabilité: LFI Contributor+ via Traversal, RCE Admin+, LFI Admin+ via Traversal
Corrigé en version: 2.5.1
Sévérité: Moyenne

ultimate member vulnerabilités wordpress

4. Web Stories

Extension: Web Stories
Installations: 90 000+
Vulnérabilité: Falsification de requête côté serveur de Subscriber+
Corrigé en version: 1.25.0
Sévérité: Moyenne

web stories vulnerabilités wordpress

5. WP-Polls

Extension: WP-Polls
Installations: 80 000+
Vulnérabilité: Contournement de validation IP
Corrigé en version: 2.76.0
Sévérité: Moyenne

wp polls vulnerabilités wordpress

6. Booster for WooCommerce Free

Extension: Booster for WooCommerce Free
Installations: 70 000+
Vulnérabilité: Effacement de fichiers de caisse via CSRF, Téléchargements de fichiers arbitraire de ShopManager+
Corrigé en version: 5.6.7
Sévérité: Basse

booster woocommerce vulnerabilités wordpress

7. Spacer

Extension: Spacer
Installations: 40 000+
Vulnérabilité: XSS Admin+ stockés
Corrigé en version: 3.0.7
Sévérité: Basse

spacer vulnerabilités wordpress

8. WP User Frontend

Extension: WP User Frontend – Membership, Profile, Registration & Post Submission Plugin for WordPress
Installations: 30 000+
Vulnérabilité: Inscription obscure en tant qu’Admin
Corrigé en version: 3.5.29
Sévérité: Moyenne

wp user frontend vulnerabilités wordpress

9. Restaurant Menu

Extension: Restaurant Menu – Food Ordering System – Table Reservation
Installations: 10 000+
Vulnérabilité: Appels AJAX non-authorisés, CSRF multiple
Corrigé en version: 2.3.2
Sévérité: Moyenne

restaurant menu vulnerabilités wordpress

10. ProfileGrid

Extension: ProfileGrid – User Profiles, Memberships, Groups and Communities
Installations: 8 000+
Vulnérabilité:Lecture et révision de message privé de Subscriber+
Corrigé en version: 5.0.4
Sévérité: Moyenne

profilegrid vulnerabilités wordpress

11. Testimonials

Extension: Testimonials
Installations: 5 000+
Vulnérabilité: Script intersite stocké dans l’Admin+
Corrigé en version: 2.7
Sévérité: Basse

testimonials vulnerabilités wordpress

12. Event Monster

Extension: Event Monster – Event Management, Tickets Booking, Upcoming Event
Installations: 1 000+
Vulnérabilité: SQLi Admin+, suppression de visiteurs via CSRF
Corrigé en version: 1.2.1
Sévérité: Moyenne

event monster vulnerabilités wordpress

13. My wpdb

Extension: My wpdb
Installations: 10+
Vulnérabilité: Requêtes SQL arbitraire via CSRF
Corrigé en version: 2.5
Sévérité: Moyenne

my wpdb vulnerabilités wordpress

14. Booster for WooCommerce Premium

Extension: Booster for WooCommerce Premium
Vulnérabilité: Suppression de fichiers de caisse via CSRF, télchargement arbitraire de fichiers par ShopManager+
Corrigé en version: 5.6.5
Sévérité: Basse

role based pricing woocommeerce plugin vulnerabilite

15. DeepL Pro API Translation

Extension: DeepL Pro API Translation Plugin
Vulnérabilité: Divulgation de clef API
Corrigé en version: 1.7.5
Sévérité: Moyenne

deepl api translation vulnerabilités wordpress

16. WPQA

Extension: WPQA Builder
Vulnérabilité: Suivre/Ne plus suivre via CSRF
Corrigé en version: 5.9
Sévérité: Moyenne

wpqa builder vulnerabilités wordpress

Vulnérabilités d’extensions sans correction

1. Grid Kit Premium

Extension: Grid Kit Premium
Vulnérabilité: scripts intersite réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

grid kit vulnerabilités wordpress

2. Evaluate

Extension: Evaluate
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: Pas de correctif
Sévérité: Basse

wordpress

3. Login Block IPs

Extension: Login Block IPs
Vulnérabilité: Contournement d’usurpation d’adresse IP
Corrigé en version: Pas de correctif
Sévérité: Basse

wordpress

4. WP Best Quiz

Extension: WP Best Quiz
Vulnérabilité: XSS stockés par Author+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

wordpress

Vulnérabilités de thèmes WordPress

Dans cette section se trouve tous les thèmes avec des vulnérabilités, qu’elle soient corrigées ou non.

1. Ask Me

Extension: Ask Me
Vulnérabilité: Suppression de publications via CSRF
Corrigé en version: 6.8.7
Sévérité: Moyenne

ask me vulnerabilités wordpress
Source: iThemes

Besoin d'aide pour garder votre site WordPress à jour ?

Josée Barrette

J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.