Montréal

(514) 400-3797

|

Centre-du-Québec

(819) 253-0593

Rapport de vulnérabilités Wordpress décembre 2022

La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.

Chaque vulnérabilité est classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!

Table des matières

Vulnérabilités 7 décembre 2022

Vulnérabilités de WordPress

La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!

wordpress pour votre site web

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Autoptimize - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

autoptimize vulnérabilités

Extension: Autoptimize
Installations: 1 000 000+
Vulnérabilité: Divulgation de données sensibles
Corrigé en version: 3.1.0
Sévérité: Medium

Easy WP SMTP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

easy wp smtp vulnérabilités

Extension: Easy WP SMTP
Installations: 600 000+
Vulnérabilité: Suppression arbitraire de fichiers Admin+, Accès arbitraire aux fichiers Admin+
Corrigé en version: 1.5.2
Sévérité: Moyenne

Custom Product Tabs for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

custom tabs woocommerce vulnérabilités

Extension: Custom Product Tabs for WooCommerce
Installations: 100 000+
Vulnérabilité: XSS Stocké Admin+
Corrigé en version: 1.8.0
Sévérité: Basse

Booster for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booster woocommerce vulnerabilités wordpressExtension: Booster for WooCommerce Installations: 70 000+ Vulnérabilité: Scripts intersites réflétés Corrigé en version: 5.6.3 Sévérité: Haute

Stop Spammers Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

stop spammers vulnérabilités

Extension: Stop Spammers Security | Block Spam Users, Comments, Forms
Installations: 60 000+
Vulnérabilité: Injection d’objets PHP non-authentifiés
Corrigé en version: 2022.6
Sévérité: Moyenne

Quiz and Survey Master – For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

quiz survey master vulnérabilités

Extension: Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress
Installations: 40 000+
Vulnérabilité: Injection non-authentifié de iFrame, Mauvaise validation de saisie
Corrigé en version: 8.0.5
Sévérité: Haute

Sliderby10Web - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

sliderby10web slider vulnérabilités

Extension: Sliderby10Web
Installations: 30 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.2.53
Sévérité: Basse

Appointment Hour Booking - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

appointment hour booking vulnérabilités

Extension: Appointment Hour Booking – WordPress Booking Plugin
Installations: 30 000+
Vulnérabilité: Injection non authentifié de iFrame, injection de csv, contournement de CAPTCHA
Corrigé en version: 1.3.73
Sévérité: Haute

WP Google Review Slider - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp google review slider vulnérabilités

Extension: WP Google Review Slider
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 11.6
Sévérité: Low

Google Apps Login - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

login google apps vulnérabilités

Extension: Login for Google Apps
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 3.4.5
Sévérité: Basse

Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

welcart e-commerce vulnérabilités

Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: Désérialisation PHAR Subscriber+, Accès arbitraire et non-authentifiés aux fichiers,  
Corrigé en version: 2.8.6
Sévérité: Haute

GD bbPress Attachments - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

gd bbpress attachments vulnérabilités

Extension: GD bbPress Attachments
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 4.4
Sévérité: Basse

Simple Basic Contact Form - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

simple basic contact form vulnérabilités

Extension: Simple Basic Contact Form
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 20221201
Sévérité: Basse

WP-Ban - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp ban vulnérabilitésExtension: WP-Ban Installations: 10 000+ Vulnérabilité: XSS stocké Admin+ Corrigé en version: 1.69.1 Sévérité: Basse

All-in-One Addons for Elementor – WidgetKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

all in one addons elementor vulnérabilitésExtension: All-in-One Addons for Elementor – WidgetKit Installations: 10 000+ Vulnérabilité: XSS stocké Admin+ Corrigé en version: 2.4.4 Sévérité: Basse

Advanced Coupons for WooCommerce Coupons - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

advanced coupons vulnérabilités

Extension: Advanced Coupons – Better WooCommerce Coupons, Store Credit, Gift Cards, Loyalty Program & More
Installations: 10 000+
Vulnérabilité: Rejet d’avis via CSRF
Corrigé en version: 4.5.0.1
Sévérité: Moyenne

Kwayy HTML Sitemap - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Kwayy HTML Sitemap Installations: 7 000+ Vulnérabilité: XSS stockés Admin+ Corrigé en version: 4.0 Sévérité: Basse

Return Refund and Exchange For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

return refund exchange woocommerce vulnérabilités

Extension: Return Refund and Exchange For WooCommerce – Create A Simple Warranty Management System RMA with Exchange, Wallet & Cancel Order Features
Installations: 4 000+
Vulnérabilité: Téléversements arbitraire non-authentifiés de fichiers
Corrigé en version: 4.0.9
Sévérité: Critique

WP Smart Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp smart import vulnérabilités

Extension: WP Smart Import : Import any XML File to WordPress
Installations: 2 000+
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: 1.0.3
Sévérité: Moyenne

Chained Quiz - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

chained quiz vulnérabilités

Extension: Chained Quiz
Installations: 2 000+
Vulnérabilité: XSS stockés Admin+, plusieurs scripts intersites reflétés, Suppression arbitraire de question via CSRF, Suppression de réponses de quiz soumise, Copie et suppression arbitraire de quiz via CSRF
Corrigé en version: 1.3.2.5
Sévérité: Moyenne

filter gallery vulnérabilitésExtension: WordPress Filter Gallery Plugin Installations: 1 000+ Vulnérabilité: XSS stockés Admin+ Corrigé en version: 0.1.6 Sévérité: Basse
contest gallery vulnérabilitésExtension: Contest Gallery – Files Upload and Contest Plugin for WordPress Installations: 1 000+ Vulnérabilité: Injection SQL Author+, Injection SQL non-authentifiée Corrigé en version: 19.1.5.1 Sévérité: Haute

Simple:Press - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

simple press vulnérabilités

Extension: Simple:Press – WordPress Forum Plugin
Installations: 600+
Vulnérabilité: Changement de fichiers arbitraire Admin+, Suppression arbitraire de fichiers subscriber+, XSS stocké non-authentifié via réponse de forum, XSS stocké via les signatures de profils
Corrigé en version: 6.8.1
Sévérité: Basse

ARMember - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: ARMember – Complete Membership Plugin
Vulnérabilité: Escalade de privilège non-authentifié
Corrigé en version: 5.6
Sévérité: Critique

WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WP CSV Exporter Vulnérabilité: Injection de CSV Corrigé en version: 1.3.7 Sévérité: Basse

Booster Plus for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booster woocommerce vulnerabilités wordpressExtension: Booster Plus for WooCommerce Vulnérabilité: Script intersite reflétés Corrigé en version: 6.0.0 Sévérité: Haute
contest gallery vulnérabilitésExtension: Contest Gallery Pro Vulnérabilité: Injection SQL Admin+ Corrigé en version: 19.1.5 Sévérité: Moyenne

Booster Elite for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booster woocommerce vulnerabilités wordpressExtension: Booster Elite for WooCommerce Vulnérabilité: Script intersite reflétés Corrigé en version: 6.0.0 Sévérité: Haute

YITH WooCommerce Gift Cards Premium - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: YITH WooCommerce Gift Cards
Vulnérabilité: Téléversement arbitraire non-authentifié de fichiers
Corrigé en version: 3.20.0
Sévérité: Critique

Vulnérabilités d’extensions sans correction

Paytium - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Paytium: Mollie payment forms & donations
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

ImageInject - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: ImageInject
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Menu Item Visibility Control - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Menu Item Visibility Control
Vulnérabilité: Exécution arbitraire de code PHP Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Bulk Delete Users by Email - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Bulk Delete Users by Email
Vulnérabilité: Suppression d’usager via CSRF, Script intersite reflété
Corrigé en version: Pas de correctif
Sévérité: Haute

Eventify - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Eventify™ – Simple Events
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Supra CSV - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Supra CSV
Vulnérabilité: Script intersite stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne

IWS – Geo Form Fields - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: IWS – Geo Form Fields
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

Advanced Booking Calendar - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Advanced Booking Calendar
Vulnérabilité: CSRF, SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Plugin Logic - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Plugin Logic
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Workreap – Freelance Marketplace and Directory - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Workreap
Vulnérabilité: Suppression arbitraire d’article Subscriber+ via IDOR
Corrigé en version: 2.6.4
Sévérité: Moyenne

Source: iThemes

Vulnérabilités 14 décembre 2022

Vulnérabilités de WordPress

Vulnérabilité: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne

Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.

wordpress pour votre site web

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

White Label CMS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

white label cms vulnérabilités

Extension: White Label CMS
Installations: 200 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 2.5
Sévérité: Basse

iubenda - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

iubenda vulnérabilités

Extension: iubenda | All-in-one Compliance for GDPR / CCPA Cookie Consent + more
Installations: 100 000+
Vulnérabilité: Escalatde de privilèges Subscriber+ à administrateur
Corrigé en version: 3.3.3
Sévérité: Haute

Custom Field Template - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

custom field template vulnérabilités

Extension: Custom Field Template
Installations: 50 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 2.5.8
Sévérité: Basse

Team Members - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

team members vulnérabilités

Extension: Team Members
Installations: 40 000+
Vulnérabilité: XSS stocké Editor+
Corrigé en version: 5.2.1
Sévérité: Basse

WP Custom Admin Interface - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

custom admin interface vulnérabilitésExtension: WP Custom Admin Interface Installations: 30 000+ Vulnérabilité: Injection d’objet PHP Admin+ Corrigé en version: 7.29 Sévérité: Moyenne

Image Hover Effects Ultimate - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

image hover effects vulnérabilitésExtension: Image Hover Effects Ultimate (Image Gallery, Effects, Lightbox, Comparison or Magnifier) Installations: 20 000+ Vulnérabilité: XSS stocké Admin+ Corrigé en version: 9.8.5 Sévérité: Basse

WP-Ban - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp ban vulnérabilités

Extension: WP-Ban
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 1.69.1
Sévérité: Basse

All-in-One Addons for Elementor – WidgetKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

all in one addons elementor vulnérabilités

Extension: All-in-One Addons for Elementor – WidgetKit
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 2.4.4
Sévérité: Basse

Authenticator - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

authenticator vulnérabilités

Extension: Authenticator
Installations: 3 000+
Vulnérabilité: Déni de service Subscriber+ via divulgation de jeton de flux
Corrigé en version: 1.3.1
Sévérité: Moyenne

BookingPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booking press vulnérabilités

Extension: BookingPress – Appointments Booking Calendar Plugin and Online Scheduling Plugin
Installations: 3 000+
Vulnérabilité: IDOR non-authentifié dans appointment_id
Corrigé en version: 1.0.31
Sévérité: Haute

WP Smart Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp smart import vulnérabilités

Extension: WP Smart Import : Import any XML File to WordPress
Installations: 2 000+
Vulnérabilité: Script intersite reflété
Corrigé en version: 1.0.3
Sévérité: Moyenne

Image Optimizer, Resizer and CDN - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

image optimizer resizer vulnérabilités

Extension: Image Optimizer, Resizer and CDN – Sirv
Installations: 1 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 6.8.1
Sévérité: Basse

filter gallery vulnérabilités

Extension: WordPress Filter Gallery Plugin
Installations: 1 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.1.6
Sévérité: Basse

WP-Lister Lite for Amazon - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp lister amazon vulnérabilités

Extension: WP-Lister Lite for Amazon
Installations: 1 000+
Vulnérabilité: XSS reflétés
Corrigé en version: 2.4.4
Sévérité: Haute

Joy Of Text Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

joy of text lite vulnérabilités

Extension: Joy Of Text Lite – SMS messaging for WordPress.
Installations: 900+
Vulnérabilité: SQLi non-authentifié
Corrigé en version: 2.3.1
Sévérité: Haute

Build App Online - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

build app online vulnérabilités

Extension: Build App Online
Installations: 900+
Vulnérabilité: Injection SQL non-authentifié
Corrigé en version: 1.0.19
Sévérité: Haute

Wholesale Market - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wholesale market vulnérabilités

Extension: Wholesale Market
Installations: 600+
Vulnérabilité: Téléchargement arbitraire non-authentifié de fichier
Corrigé en version: 2.2.1
Sévérité: Haute

Visual Email Designer for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

visual email designer woocommerce vulnérabilités

Extension: Visual Email Designer for WooCommerce
Installations: 100+
Vulnérabilité: SQLi Author+ multiples
Corrigé en version: 1.7.2
Sévérité: Moyenne

Login with Cognito - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

login cognito vulnérabilités

Extension: Login with Cognito
Installations: 60+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.4.9
Sévérité: Basse

YITH WooCommerce Gift Cards - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: YITH WooCommerce Gift Cards Vulnérabilité: Téléversement arbitraire non-authentifié de fichiers Corrigé en version: 3.20.0 Sévérité: Critique

WP Cerber - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WP Cerber Security, Anti-spam & Malware Scan Vulnérabilité: Contournement d’énumération d’utilisateurs vis Rest API Corrigé en version: 9.3.3 Sévérité: Basse

WPQA - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WPQA Builder Vulnérabilité: Validation manquante qui donne à de l’abus de fonctionnalité Corrigé en version: 5.9.3 Sévérité: Basse

Wholesale Market for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Wholesale Market for WooCommerce Vulnérabilité: Téléchargement arbitraire du journal Admin+ Corrigé en version: 2.0.0 Sévérité: Moyenne

Vulnérabilités d’extensions sans correction

WP User - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP User – Custom Registration Forms, Login and User Profile
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

Quote-O-Matic - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Quote-O-Matic
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Qe SEO Handyman - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Qe SEO Handyman
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

WP AutoComplete Search - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP AutoComplete Search
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

Product list Widget for Woocommerce - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Product list Widget for Woocommerce
Vulnérabilité: XSS reflété
Corrigé en version: Pas de correctif
Sévérité: Haute

Web Invoice - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Web Invoice – Invoicing and billing for WordPress
Vulnérabilité: SQLi authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

Cryptocurrency Widgets Pack - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Cryptocurrency Widgets Pack
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

LetsRecover - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: LetsRecover – WooCommerce Abandoned Cart Notifications
Vulnérabilité: SQLi Admin+, SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Moyenne

WP Social Sharing - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP Social Sharing
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Multimedial Images - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Multimedial Images
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

WP RSS By Publishers - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP RSS By Publishers
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Superio – Job Board - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Superio
Vulnérabilité: Script intersite stocké Subscriber+
Corrigé en version: 1.2.33
Sévérité: Basse

WPQA – Himer - Le problème n'a pas été réglé. Vous devriez changer de thème

Extension: Himer
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse

WPQA – Discy - Le problème n'a pas été réglé. Vous devriez changer de thème

Extension: Discy
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse

Source: iThemes

Vulnérabilités 21 décembre 2022

Vulnérabilités de WordPress

Version: 6.1.1
Vulnérabilité
: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne

Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.

wordpress pour votre site web

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Table of Contents Plus - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

table content plus vulnérabilités

Extension: Table of Contents Plus
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2212
Sévérité: Haute

Download Manager - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

download manager vulnérabilités

Extension: Download Manager
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.2.62
Sévérité: Haute

Smash Balloon Social Post Feed - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

smash ballons social post vulnérabilités

Extension: Smash Balloon Social Post Feed
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.1.6
Sévérité: Haute

Mesmerize Companion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: Mesmerize Companion
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.6.135
Sévérité: Haute

Starter Templates by Kadence WP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

starter template kadence vulnérabilités

Extension: Starter Templates by Kadence WP
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 1.2.17
Sévérité: Moyenne

Slimstat Analytics - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

slimstat analytics vulnérabilités

Extension: Slimstat Analytics
Installations: 100 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 4.9.3
Sévérité: Haute

WPtouch - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wptouch vulnérabilités

Extension: WPtouch
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+, Téléversement arbitraire de fichier Admin+
Corrigé en version: 4.3.45
Sévérité: Moyenne

Royal Elementor Addons - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

royal elementor addons vulnérabilités

Extension: Royal Elementor Addons (Elementor Templates, Post Grid, Mega Menu & Header Footer Builder, WooCommerce Builder, Product Grid, Slider, Parallax Image & other Free Elementor Widgets)
Installations: 100 000+
Vulnérabilité: Création / suppression arbitraire d’article Subscriber+
Corrigé en version: 1.3.56
Sévérité: Moyenne

Extension: Permalink Manager Lite
Installations: 70 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 2.3.0
Sévérité: Moyenne

WOOCS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

woocs currency woocommerce vulnérabilités

Extension: WOOCS – Currency Switcher for WooCommerce Professional
Installations: 70 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.3.9.4
Sévérité: Haute

WP Recipe Maker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp recipe maker vulnérabilités

Extension: WP Recipe Maker
Installations: 50 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 8.6.1
Sévérité: Haute

Metricool - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

metricool vulnérabilités

Extension: Metricool
Installations: 40 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.18
Sévérité: Basse

WP Custom Admin Interface - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

custom admin interface vulnérabilités

Extension: WP Custom Admin Interface
Installations: 30 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 7.29
Sévérité: Moyenne

Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 5.5
Sévérité: Haute

Image Hover Effects Ultimate - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

image hover effects vulnérabilités

Extension: Image Hover Effects Ultimate (Image Gallery, Effects, Lightbox, Comparison or Magnifier)
Installations: 20 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 9.8.5
Sévérité: Basse

Multi Step Form - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

multi step form vulnérabilités

Extension: Multi Step Form
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.7.8
Sévérité: Basse

ActiveCampaign for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

active campaign woocommerce vulnérabilités

Extension: ActiveCampaign for WooCommerce
Installations: 8 000+
Vulnérabilité: Nettoyage du journal d’erreur Subscriber+
Corrigé en version: 1.9.8
Sévérité: Moyenne

Vision Interactive For WordPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

vision interactive vulnérabilités

Extension: Vision Interactive For WordPress
Installations: 3 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.5.4
Sévérité: Haute

Sunshine Photo Cart - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

sunshine photo cart vulnérabilités

Extension: Sunshine Photo Cart
Installations: 1 000+
Vulnérabilité: XSS reflétés
Corrigé en version: 2.9.15
Sévérité: Haute

Post Status Notifier Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

post status notifier vulnérabilités

Extension: Post Status Notifier Lite
Installations: 1 000+
Vulnérabilité: XSS reflété
Corrigé en version: 1.10.1
Sévérité: Haute

WordPress Events Calendar Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

events calendar vulnérabilités

Extension: WordPress Events Calendar Plugin – connectDaily
Installations: 200+
Vulnérabilité: XSS multiples reflétés
Corrigé en version: 1.4.5
Sévérité: Haute

WPQA - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: WPQA Builder
Vulnérabilité: Validation manque donne un abus de fonctionnalité
Corrigé en version: 5.9.3
Sévérité: Basse

Mautic Integration For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: Mautic Integration For WooCommerce
Vulnérabilité: Changements d’options arbitraire via CSRF
Corrigé en version: 1.0.3
Sévérité: Haute

iPages Flipbook For WordPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: iPages Flipbook For WordPress Vulnérabilité: XSS stocké Contributor+ Corrigé en version: 1.4.7 Sévérité: Moyenne

Vulnérabilités d’extensions sans correction

Mega Addons For WPBakery Page Builder - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension

Extension: Mega Addons For WPBakery Page Builder
Installations: 60 000+
Vulnérabilité: Changement de réglages Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

iPanorama 360 WordPress Virtual Tour Builder - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension

Extension: iPanorama 360 WordPress Virtual Tour Builder
Installations: 7 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute

Extension: ImageLinks Interactive Image Builder for WordPress
Installations: 3 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute

WP CSV - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP CSV
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute

WP Table Reloaded - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP Table Reloaded
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute

Bg Bible References - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Bg Bible References
Vulnérabilité: XSS reflété
Corrigé en version: Pas de correctif
Sévérité: Haute

404 to Start - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: 404 to Start
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

WPQA – Himer - Le problème n'a pas été réglé. Vous devriez changer de thème

Extension: Himer
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse

Source: iThemes

Vulnérabilités 28 décembre 2022

Vulnérabilités de WordPress

Version: 6.1.1
Vulnérabilité
: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne

Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.

wordpress pour votre site web

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

MonsterInsights - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

monster insight vulnérabilités

Extension: MonsterInsights – Google Analytics Dashboard for WordPress (Website Stats Made Easy)
Installations: 3 000 000+
Vulnérabilité: Script intersite stocké via Google Analytics
Corrigé en version: 8.9.1
Sévérité: Moyenne

Click to Chat - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

click to chat vulnérabilités

Extension: Click to Chat
Installations: 400 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.18.1
Sévérité: Haute

Font Awesome - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

font awesome vulnérabilités

Extension: Font Awesome
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.3.2
Sévérité: Haute

ProfilePress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

profilepress vulnérabilités

Extension: Paid Membership, Ecommerce, Registration Form, Login Form, User Profile, Paywall & Restrict Content – ProfilePress
Installations: 300 000+
Vulnérabilité: Script intersite stocké Admin+ via Paramètres de Formulaire, Script intersite stocké Admin+
Corrigé en version: 4.5.1
Sévérité: Basse

Table of Contents Plus - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Table of Contents Plus
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2212
Sévérité: Haute

Anti-Malware Security and Brute-Force Firewall - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

anti malware security vulnérabilités

Extension: Anti-Malware Security and Brute-Force Firewall
Installations: 200 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 4.21.86
Sévérité: Basse

Page Scroll To ID - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

page scroll to id vulnérabilités

Extension: Page Scroll To ID
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.7.6
Sévérité: Haute

real cookie banner vulnérabilités

Extension: Real Cookie Banner: GDPR (DSGVO) & ePrivacy Cookie Consent
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.4.10
Sévérité: Haute

Mesmerize Companion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Mesmerize Companion Installations: 100 000+ Vulnérabilité: XSS stocké Contributor+ Corrigé en version: 1.6.135 Sévérité: Haute

Slimstat Analytics - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Slimstat Analytics
Installations: 100 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 4.9.3
Sévérité: Haute

Smash Balloon Social Post Feed - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Smash Balloon Social Post Feed
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.1.6
Sévérité: Haute

WPtouch - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: WPtouch
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+, Téléversement arbitraire de fichier Admin+
Corrigé en version: 4.3.45
Sévérité: Moyenne

Download Manager - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Download Manager
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.2.62
Sévérité: Haute

WOOCS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: WOOCS – Currency Switcher for WooCommerce Professional
Installations: 70 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.3.9.4
Sévérité: Haute

3D FlipBook - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

3d flipbook vulnérabilités

Extension: 3D FlipBook – PDF Flipbook Viewer, Flipbook Image Gallery
Installations: 70 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.13.3
Sévérité: Haute

wp carousel slider gallery vulnérabilités

Extension: Carousel, Slider, Gallery by WP Carousel – Image Carousel & Photo Gallery, Post Carousel & Post Grid, Product Carousel & Product Grid for WooCommerce
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.5.3
Sévérité: Haute

WP Video Lightbox - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp video lightbox vulnérabilités

Extension: WP Video Lightbox
Installation: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.4.7
Sévérité: Haute

Simple Membership - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

simple membership vulnérabilités

Extension: Simple Membership
Installations: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.2.2
Sévérité: Haute

WP Recipe Maker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: WP Recipe Maker
Installations: 50 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 8.6.1
Sévérité: Haute

Themify Portfolio Post - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

theme portfolio post vulnérabilités

Extension: Themify Portfolio Post
Installations: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.2.1
Sévérité: Haute

Metricool - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Metricool
Installations: 40 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.18
Sévérité: Basse

ConvertKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

convertkit vulnérabilités

Extension: ConvertKit – Email Marketing, Email Newsletter and Landing Pages
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.0.5
Sévérité: Haute

Super Socializer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

super socializer vulnérabilités

Extension: Social Share, Social Login and Social Comments Plugin – Super Socializer
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 7.13.44
Sévérité: Haute

Real Testimonials - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

real testimonials vulnérabilités

Extension: Real Testimonials
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.6.0
Sévérité: Haute

Easy Accordion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

easy accordion vulnérabilités

Extension: Easy Accordion – Best Accordion FAQ Plugin for WordPress
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.2.0
Sévérité: Haute

MashShare - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

social media share button vulnérabilités

Extension: Social Media Share Buttons | MashShare
Installations: 30 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.8.7
Sévérité: Haute

Seriously Simple Podcasting - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

seriously simple podcasting vulnérabilités

Extension: Seriously Simple Podcasting
Installations: 30 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.19.1
Sévérité: Haute

Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 5.5
Sévérité: Haute

Subscribe2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

subscribe2 vulnérabilités

Extension: Subscribe2 – Form, Email Subscribers & Newsletters
Installations: 30 000+
Vulnérabilité: Suppression d’utilisateur via CSRF
Corrigé en version: 10.38
Sévérité: Haute

WCK - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wck custom post vulnérabilités

Extension: Custom Post Types and Custom Fields creator – WCK
Installations: 20 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 2.3.3
Sévérité: Basse

Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: 2.8.9
Sévérité: Haute

link library vulnérabilités

Extension: Link Library
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 7.4.1
Sévérité: Basse

Greenshift – animation and page builder blocks - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

greenshift animation page builder vulnérabilités

Extension: Greenshift – animation and page builder blocks
Installations: 10 000+
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: 4.8.9
Sévérité: Haute

Tickera - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

tickera wordpress ticket vulnérabilités

Extension: Tickera – WordPress Event Ticketing
Installations: 5 000+
Vulnérabilité: Suppression de données d’extension via CSRF
Corrigé en version: 3.5.1.0
Sévérité: Basse

WP Spell Check - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp spell check vulnérabilités

Extension: WP Spell Check
Installations: 3 000+
Vulnérabilité: Suppression de mot ignoré via CSRF, Script intersite stocké Admin+
Corrigé en version: 9.13
Sévérité: Moyenne

Show All Comments - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

show all comments vulnérabilités

Extension: Show All Comments
Installations: 900+
Vulnérabilité: XSS reflété
Corrigé en version: 7.0.1
Sévérité: Haute

WordPress Events Calendar Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: WordPress Events Calendar Plugin – connectDaily
Installations: 200+
Vulnérabilité: XSS multiples reflétés
Corrigé en version: 1.4.5
Sévérité: Haute

Mautic Integration For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Mautic Integration For WooCommerce Vulnérabilité: Changements d’options arbitraire via CSRF Corrigé en version: 1.0.3 Sévérité: Haute

Vulnérabilités d’extensions sans correction

Conditional Payment Methods for WooCommerce - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Conditional Payment Methods for WooCommerce
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

WP Attachments - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP Attachments
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Easy Bootstrap Shortcode - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Easy Bootstrap Shortcode
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute

Images Optimize and Upload CF7 - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Images Optimize and Upload CF7
Vulnérabilité: Suppression arbitraire non-authentifié de fichier
Corrigé en version: Pas de correctif
Sévérité: Critique

Fontsy - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Fontsy
Vulnérabilité: Multiple SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute

User Post Gallery - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: User Post Gallery – UPG
Vulnérabilité: RCE non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Critique

RSSImport - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: RSSImport
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: Pas de correctif
Sévérité: Haute

Sidebar Widgets by CodeLights - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Sidebar Widgets by CodeLights
Vulnérabilité: XSS stocké Contributor+, Script intersite stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Haute

Vulnérabilités de thèmes WordPress

Rien à craindre, aucun thème n’a de vulnérabilité! Vous pouvez continuer à utilisé votre thème en toute sécurité, tant qu’il est à jour.

Source: iThemes

Besoin d'aide pour garder votre site WordPress à jour ?

Josée Barrette

J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.