La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.
Chaque vulnérabilité est classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!
Vulnérabilités 7 décembre 2022
Vulnérabilités de WordPress
La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Autoptimize - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Autoptimize
Installations: 1 000 000+
Vulnérabilité: Divulgation de données sensibles
Corrigé en version: 3.1.0
Sévérité: Medium
Easy WP SMTP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Easy WP SMTP
Installations: 600 000+
Vulnérabilité: Suppression arbitraire de fichiers Admin+, Accès arbitraire aux fichiers Admin+
Corrigé en version: 1.5.2
Sévérité: Moyenne
Custom Product Tabs for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Custom Product Tabs for WooCommerce
Installations: 100 000+
Vulnérabilité: XSS Stocké Admin+
Corrigé en version: 1.8.0
Sévérité: Basse
Booster for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Stop Spammers Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Stop Spammers Security | Block Spam Users, Comments, Forms
Installations: 60 000+
Vulnérabilité: Injection d’objets PHP non-authentifiés
Corrigé en version: 2022.6
Sévérité: Moyenne
Quiz and Survey Master – For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress
Installations: 40 000+
Vulnérabilité: Injection non-authentifié de iFrame, Mauvaise validation de saisie
Corrigé en version: 8.0.5
Sévérité: Haute
Sliderby10Web - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Sliderby10Web
Installations: 30 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.2.53
Sévérité: Basse
Appointment Hour Booking - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Appointment Hour Booking – WordPress Booking Plugin
Installations: 30 000+
Vulnérabilité: Injection non authentifié de iFrame, injection de csv, contournement de CAPTCHA
Corrigé en version: 1.3.73
Sévérité: Haute
WP Google Review Slider - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Google Review Slider
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 11.6
Sévérité: Low
Google Apps Login - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Login for Google Apps
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 3.4.5
Sévérité: Basse
Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: Désérialisation PHAR Subscriber+, Accès arbitraire et non-authentifiés aux fichiers,
Corrigé en version: 2.8.6
Sévérité: Haute
GD bbPress Attachments - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: GD bbPress Attachments
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 4.4
Sévérité: Basse
Simple Basic Contact Form - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Simple Basic Contact Form
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 20221201
Sévérité: Basse
WP-Ban - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
All-in-One Addons for Elementor – WidgetKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Advanced Coupons for WooCommerce Coupons - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Advanced Coupons – Better WooCommerce Coupons, Store Credit, Gift Cards, Loyalty Program & More
Installations: 10 000+
Vulnérabilité: Rejet d’avis via CSRF
Corrigé en version: 4.5.0.1
Sévérité: Moyenne
Kwayy HTML Sitemap - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Return Refund and Exchange For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Return Refund and Exchange For WooCommerce – Create A Simple Warranty Management System RMA with Exchange, Wallet & Cancel Order Features
Installations: 4 000+
Vulnérabilité: Téléversements arbitraire non-authentifiés de fichiers
Corrigé en version: 4.0.9
Sévérité: Critique
WP Smart Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Smart Import : Import any XML File to WordPress
Installations: 2 000+
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: 1.0.3
Sévérité: Moyenne
Chained Quiz - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Chained Quiz
Installations: 2 000+
Vulnérabilité: XSS stockés Admin+, plusieurs scripts intersites reflétés, Suppression arbitraire de question via CSRF, Suppression de réponses de quiz soumise, Copie et suppression arbitraire de quiz via CSRF
Corrigé en version: 1.3.2.5
Sévérité: Moyenne
WordPress Filter Gallery Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Contest Gallery - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Simple:Press - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Simple:Press – WordPress Forum Plugin
Installations: 600+
Vulnérabilité: Changement de fichiers arbitraire Admin+, Suppression arbitraire de fichiers subscriber+, XSS stocké non-authentifié via réponse de forum, XSS stocké via les signatures de profils
Corrigé en version: 6.8.1
Sévérité: Basse
ARMember - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: ARMember – Complete Membership Plugin
Vulnérabilité: Escalade de privilège non-authentifié
Corrigé en version: 5.6
Sévérité: Critique
WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Booster Plus for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Contest Gallery Pro - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Booster Elite for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
YITH WooCommerce Gift Cards Premium - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: YITH WooCommerce Gift Cards
Vulnérabilité: Téléversement arbitraire non-authentifié de fichiers
Corrigé en version: 3.20.0
Sévérité: Critique
Vulnérabilités d’extensions sans correction
Paytium - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Paytium: Mollie payment forms & donations
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
ImageInject - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: ImageInject
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Menu Item Visibility Control - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Menu Item Visibility Control
Vulnérabilité: Exécution arbitraire de code PHP Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Bulk Delete Users by Email - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Bulk Delete Users by Email
Vulnérabilité: Suppression d’usager via CSRF, Script intersite reflété
Corrigé en version: Pas de correctif
Sévérité: Haute
Eventify - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Eventify™ – Simple Events
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Supra CSV - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Supra CSV
Vulnérabilité: Script intersite stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne
IWS – Geo Form Fields - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: IWS – Geo Form Fields
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
Advanced Booking Calendar - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Advanced Booking Calendar
Vulnérabilité: CSRF, SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Plugin Logic - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Plugin Logic
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Workreap – Freelance Marketplace and Directory - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Workreap
Vulnérabilité: Suppression arbitraire d’article Subscriber+ via IDOR
Corrigé en version: 2.6.4
Sévérité: Moyenne
Vulnérabilités 14 décembre 2022
Vulnérabilités de WordPress
Vulnérabilité: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne
Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
White Label CMS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: White Label CMS
Installations: 200 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 2.5
Sévérité: Basse
iubenda - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: iubenda | All-in-one Compliance for GDPR / CCPA Cookie Consent + more
Installations: 100 000+
Vulnérabilité: Escalatde de privilèges Subscriber+ à administrateur
Corrigé en version: 3.3.3
Sévérité: Haute
Custom Field Template - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Custom Field Template
Installations: 50 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 2.5.8
Sévérité: Basse
Team Members - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Team Members
Installations: 40 000+
Vulnérabilité: XSS stocké Editor+
Corrigé en version: 5.2.1
Sévérité: Basse
WP Custom Admin Interface - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Image Hover Effects Ultimate - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WP-Ban - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP-Ban
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 1.69.1
Sévérité: Basse
All-in-One Addons for Elementor – WidgetKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: All-in-One Addons for Elementor – WidgetKit
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 2.4.4
Sévérité: Basse
Authenticator - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Authenticator
Installations: 3 000+
Vulnérabilité: Déni de service Subscriber+ via divulgation de jeton de flux
Corrigé en version: 1.3.1
Sévérité: Moyenne
BookingPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: BookingPress – Appointments Booking Calendar Plugin and Online Scheduling Plugin
Installations: 3 000+
Vulnérabilité: IDOR non-authentifié dans appointment_id
Corrigé en version: 1.0.31
Sévérité: Haute
WP Smart Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Smart Import : Import any XML File to WordPress
Installations: 2 000+
Vulnérabilité: Script intersite reflété
Corrigé en version: 1.0.3
Sévérité: Moyenne
Image Optimizer, Resizer and CDN - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Image Optimizer, Resizer and CDN – Sirv
Installations: 1 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 6.8.1
Sévérité: Basse
WordPress Filter Gallery Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WordPress Filter Gallery Plugin
Installations: 1 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.1.6
Sévérité: Basse
WP-Lister Lite for Amazon - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP-Lister Lite for Amazon
Installations: 1 000+
Vulnérabilité: XSS reflétés
Corrigé en version: 2.4.4
Sévérité: Haute
Joy Of Text Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Joy Of Text Lite – SMS messaging for WordPress.
Installations: 900+
Vulnérabilité: SQLi non-authentifié
Corrigé en version: 2.3.1
Sévérité: Haute
Build App Online - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Build App Online
Installations: 900+
Vulnérabilité: Injection SQL non-authentifié
Corrigé en version: 1.0.19
Sévérité: Haute
Wholesale Market - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Wholesale Market
Installations: 600+
Vulnérabilité: Téléchargement arbitraire non-authentifié de fichier
Corrigé en version: 2.2.1
Sévérité: Haute
Visual Email Designer for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Visual Email Designer for WooCommerce
Installations: 100+
Vulnérabilité: SQLi Author+ multiples
Corrigé en version: 1.7.2
Sévérité: Moyenne
Login with Cognito - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Login with Cognito
Installations: 60+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.4.9
Sévérité: Basse
YITH WooCommerce Gift Cards - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WP Cerber - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WPQA - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Wholesale Market for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Vulnérabilités d’extensions sans correction
WP User - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP User – Custom Registration Forms, Login and User Profile
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
Quote-O-Matic - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Quote-O-Matic
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Qe SEO Handyman - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Qe SEO Handyman
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WP AutoComplete Search - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP AutoComplete Search
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
Product list Widget for Woocommerce - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Product list Widget for Woocommerce
Vulnérabilité: XSS reflété
Corrigé en version: Pas de correctif
Sévérité: Haute
Web Invoice - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Web Invoice – Invoicing and billing for WordPress
Vulnérabilité: SQLi authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
Cryptocurrency Widgets Pack - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Cryptocurrency Widgets Pack
Vulnérabilité: SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
LetsRecover - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: LetsRecover – WooCommerce Abandoned Cart Notifications
Vulnérabilité: SQLi Admin+, SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WP Social Sharing - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP Social Sharing
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Multimedial Images - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Multimedial Images
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WP RSS By Publishers - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP RSS By Publishers
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Superio – Job Board - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Superio
Vulnérabilité: Script intersite stocké Subscriber+
Corrigé en version: 1.2.33
Sévérité: Basse
WPQA – Himer - Le problème n'a pas été réglé. Vous devriez changer de thème
Extension: Himer
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse
WPQA – Discy - Le problème n'a pas été réglé. Vous devriez changer de thème
Extension: Discy
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse
Source: iThemes
Vulnérabilités 21 décembre 2022
Vulnérabilités de WordPress
Version: 6.1.1
Vulnérabilité: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne
Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Table of Contents Plus - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Table of Contents Plus
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2212
Sévérité: Haute
Download Manager - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Download Manager
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.2.62
Sévérité: Haute
Smash Balloon Social Post Feed - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Smash Balloon Social Post Feed
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.1.6
Sévérité: Haute
Mesmerize Companion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Mesmerize Companion
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.6.135
Sévérité: Haute
Starter Templates by Kadence WP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Starter Templates by Kadence WP
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 1.2.17
Sévérité: Moyenne
Slimstat Analytics - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Slimstat Analytics
Installations: 100 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 4.9.3
Sévérité: Haute
WPtouch - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WPtouch
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+, Téléversement arbitraire de fichier Admin+
Corrigé en version: 4.3.45
Sévérité: Moyenne
Royal Elementor Addons - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Royal Elementor Addons (Elementor Templates, Post Grid, Mega Menu & Header Footer Builder, WooCommerce Builder, Product Grid, Slider, Parallax Image & other Free Elementor Widgets)
Installations: 100 000+
Vulnérabilité: Création / suppression arbitraire d’article Subscriber+
Corrigé en version: 1.3.56
Sévérité: Moyenne
Permalink Manager Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Permalink Manager Lite
Installations: 70 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 2.3.0
Sévérité: Moyenne
WOOCS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WOOCS – Currency Switcher for WooCommerce Professional
Installations: 70 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.3.9.4
Sévérité: Haute
WP Recipe Maker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Recipe Maker
Installations: 50 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 8.6.1
Sévérité: Haute
Metricool - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Metricool
Installations: 40 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.18
Sévérité: Basse
WP Custom Admin Interface - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Custom Admin Interface
Installations: 30 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 7.29
Sévérité: Moyenne
Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 5.5
Sévérité: Haute
Image Hover Effects Ultimate - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Image Hover Effects Ultimate (Image Gallery, Effects, Lightbox, Comparison or Magnifier)
Installations: 20 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 9.8.5
Sévérité: Basse
Multi Step Form - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Multi Step Form
Installations: 10 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.7.8
Sévérité: Basse
ActiveCampaign for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: ActiveCampaign for WooCommerce
Installations: 8 000+
Vulnérabilité: Nettoyage du journal d’erreur Subscriber+
Corrigé en version: 1.9.8
Sévérité: Moyenne
Vision Interactive For WordPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Vision Interactive For WordPress
Installations: 3 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.5.4
Sévérité: Haute
Sunshine Photo Cart - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Sunshine Photo Cart
Installations: 1 000+
Vulnérabilité: XSS reflétés
Corrigé en version: 2.9.15
Sévérité: Haute
Post Status Notifier Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Post Status Notifier Lite
Installations: 1 000+
Vulnérabilité: XSS reflété
Corrigé en version: 1.10.1
Sévérité: Haute
WordPress Events Calendar Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WordPress Events Calendar Plugin – connectDaily
Installations: 200+
Vulnérabilité: XSS multiples reflétés
Corrigé en version: 1.4.5
Sévérité: Haute
WPQA - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WPQA Builder
Vulnérabilité: Validation manque donne un abus de fonctionnalité
Corrigé en version: 5.9.3
Sévérité: Basse
Mautic Integration For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Mautic Integration For WooCommerce
Vulnérabilité: Changements d’options arbitraire via CSRF
Corrigé en version: 1.0.3
Sévérité: Haute
iPages Flipbook For WordPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Vulnérabilités d’extensions sans correction
Mega Addons For WPBakery Page Builder - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension
Extension: Mega Addons For WPBakery Page Builder
Installations: 60 000+
Vulnérabilité: Changement de réglages Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
iPanorama 360 WordPress Virtual Tour Builder - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension
Extension: iPanorama 360 WordPress Virtual Tour Builder
Installations: 7 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute
ImageLinks Interactive Image Builder for WordPress - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension
Extension: ImageLinks Interactive Image Builder for WordPress
Installations: 3 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute
WP CSV - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP CSV
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute
WP Table Reloaded - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP Table Reloaded
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute
Bg Bible References - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Bg Bible References
Vulnérabilité: XSS reflété
Corrigé en version: Pas de correctif
Sévérité: Haute
404 to Start - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: 404 to Start
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
WPQA – Himer - Le problème n'a pas été réglé. Vous devriez changer de thème
Extension: Himer
Vulnérabilité: Validation manquante donne un abus de fonctionnalité
Corrigé en version: Pas de correctif
Sévérité: Basse
Source: iThemes
Vulnérabilités 28 décembre 2022
Vulnérabilités de WordPress
Version: 6.1.1
Vulnérabilité: SSRF aveugle non-authentifié via reliure de DNS
Corrigé en version: pas de correctif
Sévérité: Moyenne
Cette vulnérabilité à été rapportée par Thomas Chauchefoin et n’a présentement pas de correctif. Par contre, les probabilités que cette vulnérabilité soit exploitée sont mince, et pour vous protéger, tout ce que vous avez besoin de faire c’est d’arrêter les pingbacks ou les XML-RPC sur votre site Wordpress.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
MonsterInsights - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: MonsterInsights – Google Analytics Dashboard for WordPress (Website Stats Made Easy)
Installations: 3 000 000+
Vulnérabilité: Script intersite stocké via Google Analytics
Corrigé en version: 8.9.1
Sévérité: Moyenne
Click to Chat - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Click to Chat
Installations: 400 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.18.1
Sévérité: Haute
Font Awesome - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Font Awesome
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.3.2
Sévérité: Haute
ProfilePress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Paid Membership, Ecommerce, Registration Form, Login Form, User Profile, Paywall & Restrict Content – ProfilePress
Installations: 300 000+
Vulnérabilité: Script intersite stocké Admin+ via Paramètres de Formulaire, Script intersite stocké Admin+
Corrigé en version: 4.5.1
Sévérité: Basse
Table of Contents Plus - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Table of Contents Plus
Installations: 300 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2212
Sévérité: Haute
Anti-Malware Security and Brute-Force Firewall - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Anti-Malware Security and Brute-Force Firewall
Installations: 200 000+
Vulnérabilité: Injection d’objet PHP Admin+
Corrigé en version: 4.21.86
Sévérité: Basse
Page Scroll To ID - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Page Scroll To ID
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.7.6
Sévérité: Haute
Real Cookie Banner - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Real Cookie Banner: GDPR (DSGVO) & ePrivacy Cookie Consent
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.4.10
Sévérité: Haute
Mesmerize Companion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Slimstat Analytics - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Slimstat Analytics
Installations: 100 000+
Vulnérabilité: XSS stocké non-authentifié
Corrigé en version: 4.9.3
Sévérité: Haute
Smash Balloon Social Post Feed - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Smash Balloon Social Post Feed
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.1.6
Sévérité: Haute
WPtouch - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WPtouch
Installations: 100 000+
Vulnérabilité: Injection d’objet PHP Admin+, Téléversement arbitraire de fichier Admin+
Corrigé en version: 4.3.45
Sévérité: Moyenne
Download Manager - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Download Manager
Installations: 100 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.2.62
Sévérité: Haute
WOOCS - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WOOCS – Currency Switcher for WooCommerce Professional
Installations: 70 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.3.9.4
Sévérité: Haute
3D FlipBook - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: 3D FlipBook – PDF Flipbook Viewer, Flipbook Image Gallery
Installations: 70 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.13.3
Sévérité: Haute
Carousel, Slider, Gallery by WP Carousel - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Carousel, Slider, Gallery by WP Carousel – Image Carousel & Photo Gallery, Post Carousel & Post Grid, Product Carousel & Product Grid for WooCommerce
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.5.3
Sévérité: Haute
WP Video Lightbox - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Video Lightbox
Installation: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.4.7
Sévérité: Haute
Simple Membership - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Simple Membership
Installations: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 4.2.2
Sévérité: Haute
WP Recipe Maker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Recipe Maker
Installations: 50 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 8.6.1
Sévérité: Haute
Themify Portfolio Post - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Themify Portfolio Post
Installations: 50 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 1.2.1
Sévérité: Haute
Metricool - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Metricool
Installations: 40 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.18
Sévérité: Basse
ConvertKit - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: ConvertKit – Email Marketing, Email Newsletter and Landing Pages
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.0.5
Sévérité: Haute
Super Socializer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Social Share, Social Login and Social Comments Plugin – Super Socializer
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 7.13.44
Sévérité: Haute
Real Testimonials - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Real Testimonials
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.6.0
Sévérité: Haute
Easy Accordion - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Easy Accordion – Best Accordion FAQ Plugin for WordPress
Installations: 40 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.2.0
Sévérité: Haute
MashShare - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Social Media Share Buttons | MashShare
Installations: 30 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 3.8.7
Sévérité: Haute
Seriously Simple Podcasting - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Seriously Simple Podcasting
Installations: 30 000+
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: 2.19.1
Sévérité: Haute
Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 5.5
Sévérité: Haute
Subscribe2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Subscribe2 – Form, Email Subscribers & Newsletters
Installations: 30 000+
Vulnérabilité: Suppression d’utilisateur via CSRF
Corrigé en version: 10.38
Sévérité: Haute
WCK - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Custom Post Types and Custom Fields creator – WCK
Installations: 20 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 2.3.3
Sévérité: Basse
Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: 2.8.9
Sévérité: Haute
Link Library - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Link Library
Installations: 10 000+
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 7.4.1
Sévérité: Basse
Greenshift – animation and page builder blocks - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Greenshift – animation and page builder blocks
Installations: 10 000+
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: 4.8.9
Sévérité: Haute
Tickera - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Tickera – WordPress Event Ticketing
Installations: 5 000+
Vulnérabilité: Suppression de données d’extension via CSRF
Corrigé en version: 3.5.1.0
Sévérité: Basse
WP Spell Check - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Spell Check
Installations: 3 000+
Vulnérabilité: Suppression de mot ignoré via CSRF, Script intersite stocké Admin+
Corrigé en version: 9.13
Sévérité: Moyenne
Show All Comments - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Show All Comments
Installations: 900+
Vulnérabilité: XSS reflété
Corrigé en version: 7.0.1
Sévérité: Haute
WordPress Events Calendar Plugin - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WordPress Events Calendar Plugin – connectDaily
Installations: 200+
Vulnérabilité: XSS multiples reflétés
Corrigé en version: 1.4.5
Sévérité: Haute
Mautic Integration For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Vulnérabilités d’extensions sans correction
Conditional Payment Methods for WooCommerce - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Conditional Payment Methods for WooCommerce
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WP Attachments - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP Attachments
Vulnérabilité: XSS stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Easy Bootstrap Shortcode - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Easy Bootstrap Shortcode
Vulnérabilité: XSS stocké Contributor+
Corrigé en version: Pas de correctif
Sévérité: Haute
Images Optimize and Upload CF7 - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Images Optimize and Upload CF7
Vulnérabilité: Suppression arbitraire non-authentifié de fichier
Corrigé en version: Pas de correctif
Sévérité: Critique
Fontsy - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Fontsy
Vulnérabilité: Multiple SQLi non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Haute
User Post Gallery - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: User Post Gallery – UPG
Vulnérabilité: RCE non-authentifié
Corrigé en version: Pas de correctif
Sévérité: Critique
RSSImport - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: RSSImport
Vulnérabilité: XSS stocké Contributor+ via Shortcode
Corrigé en version: Pas de correctif
Sévérité: Haute
Sidebar Widgets by CodeLights - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Sidebar Widgets by CodeLights
Vulnérabilité: XSS stocké Contributor+, Script intersite stocké Admin+
Corrigé en version: Pas de correctif
Sévérité: Haute
Vulnérabilités de thèmes WordPress
Rien à craindre, aucun thème n’a de vulnérabilité! Vous pouvez continuer à utilisé votre thème en toute sécurité, tant qu’il est à jour.
Besoin d'aide pour garder votre site WordPress à jour ?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.