Montréal

(514) 400-3797

|

Centre-du-Québec

(819) 253-0593

Rapport de vulnérabilités Wordpress 9 novembre 2022

vulnérabilités wordpress 9 novembre 2022

La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.

Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!

Vulnérabilités de WordPress

Le mardi 1er novembre, la mise à jour 6.1 de Wordpress est sortie et celle-ci présente beaucoup d’amélioration à Wordpress. Cette version ne présente aucune vulnérabilité. Vous pouvez donc l’installer sans problème!

wordpress pour votre site web

Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

1. Checkout Field Editor for WooCommerce

Extension: Checkout Field Editor (Checkout Manager) for WooCommerce
Installations: 400 000+
Vulnérabilité: Injection d’objet PHP par l’Admin+
Corrigé en version: 1.8.0
Sévérité: Moyenne

vulnérabilités checkout field woocommerce

2. Blog2Social

Extension: Blog2Social: Social Media Auto Post & Scheduler
Installations: 70 000+
Vulnérabilité: Changement de préférences par Subscriber+
Corrigé en version: 6.9.12
Sévérité: Moyenne

vulnérabilités blog 2 social

3. WP Admin UI Customize

Extension: WP Admin UI Customize
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 1.5.13
Sévérité: Basse

vulnérabilités wp admin ui customize

4. Donations via PayPal

Extension: Donations via PayPal
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 1.9.9
Sévérité: Basse

vulnérabilités donations paypal

5. Beautiful Cookie Consent Banner

Extension: Beautiful Cookie Consent Banner
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 2.9.1
Sévérité: Basse

vulnérabilités cookie consent banner

6. Form Vibes

Extension: Form Vibes – Database Manager for Forms
Installations: 20 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.4.6
Sévérité: Moyenne

vulnérabilités form vibes

7. Theme-Demo-Importer

Extension: Theme Demo Import
Installations: 10 000+
Vulnérabilité: Téléversement arbitraire de fichiers par Admin+
Corrigé en version: 1.1.1
Sévérité: Moyenne

8. Awesome Support

Extension: Awesome Support – WordPress HelpDesk & Support Plugin
Installations: 10 000+
Vulnérabilité: Téléchargement arbitraire de billets exportés Subscriber+
Corrigé en version: 6.1.2
Sévérité: Moyenne

vulnérabilités awesome support

9. Salon Booking System

Extension: Salon Booking System
Installations: 8 000+
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: 7.9.4
Sévérité: Moyenne

vulnérabilités salon booking

10. HTML Forms

Extension: HTML Forms
Installations: 7 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.3.25
Sévérité: Moyenne

vulnérabilités html forms

11. WP OAuth Server

Extension: WP OAuth Server (OAuth Authentication)
Installations: 4 000+
Vulnérabilité: XSS stocké dans l’Admin+
Corrigé en version: 4.2.2
Sévérité: Basse

vulnérabilités wp oauth server

12. Export customers list csv for WooCommerce

Extension: Export customers list CSV for WooCommerce, WordPress users CSV, export Guest customer list
Installations: 3 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 2.0.69
Sévérité: Basse

vulnérabilités export customers woocommerce

13. WPSmartContracts

Extension: WPSmartContracts
Installations: 1 000+
Vulnérabilité: SQLi Author+
Corrigé en version: 1.3.12
Sévérité: Moyenne

14. OWM Weather

Extension: OWM Weather
Installations: 1 000+
Vulnérabilité: SQLI Contributor+
Corrigé en version: 5.6.9
Sévérité: Haute

vulnérabilités owm weather

15. VR Calendar

Extension: VR Calendar
Installations: 1 000+
Vulnérabilité: Suppression / mise à jour du calendrier et des préférences via CSRF
Corrigé en version: 2.3.4
Sévérité: Moyenne

vulnérabilités vr calendar

16. Salat Times

Extension: Salat Times
Installations: 900+
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: 3.2.2
Sévérité: Basse

vulnérabilités wp salat times

17. WP User Merger

Extension: WP User Merger
Installations: 200+
Vulnérabilité: SQLi Admin+ via user_id, wpsu_user_id et ID
Corrigé en version: 1.5.3
Sévérité: Moyenne

18. Jeeng Push Notifications

Extension: Jeeng Push Notifications
Installations: 10+
Vulnérabilité: Scripts intersite stocké Admin+
Corrigé en version: 2.0.4
Sévérité: Basse

vulnérabilités jeeng push notifications

19. Find and Replace All

Extension: Find and Replace All by Taraprasad Swain
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: 1.3
Sévérité: Moyenne

Hébergement WordPress

20. 4ECPS Web Forms

Extension: 4ECPS Web Forms
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.2.18
Sévérité: Basse

Vulnérabilités d’extensions sans correction

1. WPGForm

Extension: wpgform by Mike Walsh
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

2. Image Hover Effects Css3

Extension: Image Hover Effects Css3 by Nasir
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

3. Analytics for WP

Extension: Analytics for WP by Aman Verma
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

4. Find and Replace All

Extension: Find and Replace All by Taraprasad Swain
Vulnérabilité: Remplacements arbitraire via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute

5. AM-HiLi Affiliate Manager for Publishers

Extension: AM-HiLi Affiliate Manager for Publishers by Ayoub Media
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

6. Testimonial Slider

Extension: Testimonial Slider by DavidAnderson
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne

7. Showing URL in QR Code

Extension: Showing URL in QR Code by abkorim
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne

8. Long Form reCAPTCHA

Extension: Long Form reCAPTCHA by Ash Matadeen
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse

8. 3DPrint

Extension: 3DPrint
Vulnérabilité: Suppression arbitraire de fichier et d’annuaire via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute

8. Fancier Author Box by ThematoSoup

Extension: Fancier Author Box by ThematoSoup
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse

8. Video Thumbnails

Extension: Video Thumbnails by Sutherland Boswell
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse

8. Font Awesome 4 Menus

Extension: Font Awesome 4 Menus by New Nine Media
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse

8. AgentEasy Properties

Extension: AgentEasy Properties
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse

Vulnérabilités de thèmes WordPress

Bonne nouvelle, tous les thèmes sont sécuritaire! vous pouvez utiliser peu importe le thème que vous utilisez présentement en toute sécurité.

Source: iThemes

Besoin d'aide pour garder votre site WordPress à jour ?

Josée Barrette

J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.