Montréal

(514) 400-3797

|

Centre-du-Québec

(819) 253-0593

Rapport de vulnérabilités Wordpress novembre 2022

vulnérabilités wordpress novembre 2022 pin

La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.

Chaque vulnérabilité est classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!

Table des matières

Vulnérabilités 16 novembre 2022

Vulnérabilités de WordPress

La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!

wordpress pour votre site web

Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

vulnérabilités broken link checker

Extension: Broken Link Checker
Installations: 700 000+
Vulnérabilité: Script intersite Admin+
Corrigé en version: 1.11.20
Sévérité: Basse

Chaty - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

chaty vulnérabilités

Extension: Floating Chat Widget: Contact Chat Icons, Telegram Chat, Line, WeChat, Email, SMS, Call Button – Chaty
Installations: 100 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 3.0.3
Sévérité: Moyenne

Feed Them Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

feed them social vulnérabilités

Extension: Feed Them Social – for Twitter feed, Youtube and more
Installations: 70 000+
Vulnérabilité: XSS Stocké dans Subscriber+, changements de paramètre via CSRF
Corrigé en version: 3.0.1
Sévérité: Moyenne

Blog2Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

blog2social vulnérabilités

Extension: Blog2Social: Social Media Auto Post & Scheduler
Installations: 70 000+
Vulnérabilité: Changements de paramètre via Subscriber+
Corrigé en version: 6.9.12
Sévérité: Moyenne

Advanced Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

advanced import vulnérabilités

Extension: Advanced Import : One Click Import for WordPress or Theme Demo Data
Installations: 70 000+
Vulnérabilité: Installation et activation arbitraire d’extension via CSRF
Corrigé en version: 1.3.8
Sévérité: Haute

TeraWallet – For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

terawallet woocommerce vulnérabilités

Extension: TeraWallet – For WooCommerce
Installations: 20 000+
Vulnérabilité: Subscriber+ verrouillage/déverrouillage arbitraire de portefeuille via IDOR
Corrigé en version: 1.4.4
Sévérité: Moyenne

Form Vibes - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

vulnérabilités form vibes

Extension: Form Vibes – Database Manager for Forms
Installations: 20 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.4.6
Sévérité: Moyenne

Theme Demo Importer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Theme Demo Importer
Installations: 10 000+
Vulnérabilité: Admin+ téléversement arbitraire de fichiers
Corrigé en version: 1.1.1
Sévérité: Moyenne

Seed Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

seed social vulnérabilités

Extension: Seed Social
Installations: 10 000+
Vulnérabilité: Admin+ XSS stockés
Corrigé en version: 2.0.4
Sévérité: Low

Salon Booking System - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

vulnérabilités salon booking

Extension: Salon Booking System
Installations: 8 000+
Vulnérabilité: Scripts intersites réflétés
Corrigé en version: 7.9.4
Sévérité: Moyenne

WP OAuth Server - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

vulnérabilités wp oauth server

Extension: WP OAuth Server (OAuth Authentication)
Installations: 4 000+
Vulnérabilité: Admin+ XSS stockés, Régénération secrète des clients via CSRF
Corrigé en version: 4.2.2
Sévérité: Basse

Export customers list CSV for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

vulnérabilités export customers woocommerce

Extension: Export customers list csv for WooCommerce, WordPress users csv, export Guest customer list
Installations: 3 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 2.0.69
Sévérité: Basse

Comic Book Management System - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

comic book management vulnérabilités

Extension: Comic Book Management System
Installations: 10+
Vulnérabilité: SQLi Admin+
Corrigé en version: 2.2.0
Sévérité: Moyenne

WordPress Countdown Widget - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress countdown vulnérabilités

Extension: WordPress Countdown Widget
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 3.1.9.3
Sévérité: Basse

WP Affiliate Platform - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WP Affiliate Platform Vulnérabilité: Suppression des enregistrement affiliés via CSRF, XSS stocké Admin+ Corrigé en version: 6.4.0 Sévérité: Moyenne

Becustom - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Becustom Vulnérabilité: Changements de paramètre via CSRF Corrigé en version: 1.0.5.3 Sévérité: Moyenne

WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WP CSV Exporter Vulnérabilité: SQLi Admin+ Corrigé en version: 1.3.7 Sévérité: Moyenne

Vulnérabilités d’extensions sans correction

WPUpper Share Buttons - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WPUpper Share Buttons
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Helloprint - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Plug your WooCommerce into the largest catalog of customized print products from Helloprint Vulnérabilité: Scripts intersites réflétés Corrigé en version: Pas de correctif Sévérité: Moyenne

Advanced WP Columns - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Advanced WP Columns
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Follow Me Plugin - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Follow Me Plugin
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Simple Video Embedder - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Simple Video Embedder
Vulnérabilité: Scripts intersites stockés Contributor+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Transposh WordPress Translation - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Transposh WordPress Translation
Vulnérabilité: Changements de paramètres via contournement d’autorisation
Corrigé en version: Pas de correctif
Sévérité: Moyenne

WP Page Builder - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: WP Page Builder
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Uji Countdown - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Uji Countdown
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Add Comments - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Add Comments
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

3DPrint - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension

Extension: 3DPrint
Vulnérabilité: Suppression arbitraire de fichiers et de répertoires via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute

Clerk - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Clerk
Vulnérabilité: Contournement d’autorisation et divulgation de clefs API
Corrigé en version: Pas de correctif
Sévérité: Basse

Extension: Photospace Gallery
Vulnérabilité: Scripts intersites stockés Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

PostmagThemes Demo - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: PostmagThemes Demo
Vulnérabilité: Téléversements arbitraire de fichiers Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Workreap – Freelance Marketplace and Directory - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

 

Extension: Workreap
Vulnérabilité: Divulgation de messages privés Subscriber+ via IDOR
Corrigé en version: 2.6.3
Sévérité: Moyenne

Source: iThemes

Vulnérabilités 23 novembre 2022

Vulnérabilités de WordPress

La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!

wordpress pour votre site web

Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

All-In-One Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

all in one security vulnérabilitésExtension: All-In-One Security (AIOS) – Security and Firewall Installations: 1 000 000+ Vulnérabilité: Usurpation d’IP, actions de masse via CSRF Corrigé en version: 5.1.1 Sévérité: Moyenne

SVG Support - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

svg support vulnérabilités

Extension: SVG Support
Installations: 1 000 000+
Vulnérabilité: XSS stockés Author+
Corrigé en version: 2.5.2
Sévérité: Moyenne

wordpress popular posts vulnérabilités

Extension: WordPress Popular Posts
Installations: 200 000+
Vulnérabilité: Vues authentifiées manipulées
Corrigé en version: 6.1.0
Sévérité: Moyenne

Plugin for Google Reviews - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

plugin google review vulnérabilités

Extension: Plugin for Google Reviews
Installations: 100 000+
Vulnérabilité: Création de widget Subscriber+
Corrigé en version: 2.2.3
Sévérité: Moyenne

Icegram Express - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

icegram vulnérabilités

Extension: Icegram Express – Email Subscribers, Newsletters and Marketing Automation Plugin
Installations: 100 000+
Vulnérabilité: SQLi Subscriber+
Corrigé en version: 5.5.0
Sévérité: Haute

Crowdsignal Dashboard - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

crowdsignal vulnérabilités

Extension: Crowdsignal Dashboard – Polls, Surveys & more
Installations: 90 000+
Vulnérabilité: Changement des paramètres d’évaluation Contributor+
Corrigé en version: 3.0.10
Sévérité: Moyenne

Livemesh Addons for Elementor - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

livemesh elementor vulnérabilités

Extension: Livemesh Addons for Elementor
Installations: 90 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 7.2.4
Sévérité: Basse

Booster for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booster woocommerce vulnerabilités wordpress

Extension: Booster for WooCommerce
Installations: 70 000+
Vulnérabilité: Création/suppression de rôle personnalisé via CSRF
Corrigé en version: 5.6.7
Sévérité: Moyenne

User Registration - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

user registration vulnérabilités

Extension: User Registration – Custom Registration Form, Login Form And User Profile For WordPress
Installations: 60 000+
Vulnérabilité: Téléversement arbitraire de fichiers Subscriber+
Corrigé en version: 2.2.4.1
Sévérité: Critique

permalink manager vulnérabilités

Extension: Permalink Manager Lite
Installations: 60 000+
Vulnérabilité: Changements de paramètres vis CSRF
Corrigé en version: 2.2.20.2
Sévérité: Moyenne

Dokan - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

dokan vulnérabilités

Extension: Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy
Installations: 60 000+
Vulnérabilité: SQLi non-identifié
Corrigé en version: 3.7.6
Sévérité: Haute

Easy Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

easy-video player vulnérabilitésExtension: Easy Video Player Installations: 40 000+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.2.2.3 Sévérité: Moyenne

Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

jetpack crm vulnérabilités

Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: Scripts intersite stockés Admin+
Corrigé en version: 5.4.3
Sévérité: Basse

wpForo Forum - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wpforo forum vulnérabilitésExtension: wpForo Forum Installations: 20 000+ Vulnérabilité: Suppression arbitraire d’utilisateur vis CSRF Corrigé en version: 2.1.0 Sévérité: Haute

Ezoic - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

ezoic vulnérabilités

Extension: Ezoic
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+, changement de paramètre non-authentifiés aux XSS stockés
Corrigé en version: 2.8.9
Sévérité: Basse

Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

welcart e-commerce vulnérabilités

Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: Scripts intersites stockés Subscriber+, Création/changement/suppression arbitraire de mode de livraison
Corrigé en version: 2.8.4
Sévérité: Moyenne

StopBadBots - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

block bad bots vulnérabilités

Extension: Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection
Installations: 10 000+
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 7.24
Sévérité: Haute

Directorist - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

directorist vulnérabilitésExtension: Directorist – WordPress Business Directory Plugin with Classified Ads Listings Installations: 10 000+ Vulnérabilité: Changement de mots de passe arbitraire Subscriber+ via IDOR Corrigé en version: 7.4.2.2 Sévérité: Haute

Videojs HTML5 Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

video html5 player vulnérabilitésExtension: Videojs HTML5 Player Installations: 10 000+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.1.9 Sévérité: Moyenne

Motors - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

motors vulnérabilités

Extension: Motors – Car Dealer, Classifieds & Listing
Installations: 9 000+
Vulnérabilité: Téléversement arbitraire de fichiers
Corrigé en version: 1.4.4
Sévérité: Critique

Booking Calendar - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

booking calendar vulnérabilités

Extension: Booking calendar, Appointment Booking System
Installations: 5 000+
Vulnérabilité: Téléversement arbitraire non-authentifié de fichiers
Corrigé en version: 3.2.2
Sévérité: Critique

News Announcement Scroll - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

news anouncement vulnérabilités

Extension: News Announcement Scroll
Installations: 5 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 9.0.0
Sévérité: Basse

WP Stripe Checkout - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp stripe checkout vulnérabilités

Extension: WP Stripe Checkout
Installations: 4 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.21
Sévérité: Moyenne

Export Users With Meta - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

export users meta vulnérabilités

Extension: Export Users With Meta
Installations: 3 000+
Vulnérabilité: Injection de CSV Subscriber+
Corrigé en version: 0.6.10
Sévérité: Basse

Flowplayer Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

flowplayer video player vulnérabilitésExtension: Flowplayer Video Player Installations: 2 000+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.0.5 Sévérité: Moyenne

Car Dealer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

car dealer vulnérabilités

Extension: Car Dealer (Dealership) and Vehicle sales WordPress Plugin
Installations: 1 000+
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 3.05
Sévérité: High

Checkout for PayPal - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

checkout paypal vulnérabilités

Extension: Checkout for PayPal
Installations: 1 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.0.14
Sévérité: Moyenne

Anthologize - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: Anthologize
Installations: 900+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.8.1
Sévérité: Basse

Chameleon - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

chameleon vulnérabilités

Extension: Chameleon
Installations: 500+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.4.4
Sévérité: Basse

Responsive Lightbox2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

responsive lightbox2 vulnérabilitésExtension: Responsive Lightbox2 Installations: 400+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.0.4 Sévérité: Moyenne

Easy Form Builder - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

easy form builder vulnérabilités

Extension: Easy Form Builder
Installations: 300+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 3.4.0
Sévérité: Basse

Booster Elite for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Booster Elite for WooCommerce Vulnérabilité: Création/suppression de rôles personnalisés via CSRF Corrigé en version: 1.1.8 Sévérité: Moyenne

Booster Plus for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site web

Extension: Booster Plus for WooCommerce
Vulnérabilité: Création/suppression de rôles personnalisés via CSRF
Corrigé en version: 5.6.6
Sévérité: Moyenne

Cooked Pro - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Cooked Pro Vulnérabilité: Injection d’objets PHP non-authentifiés Corrigé en version: 1.7.5.7 Sévérité: Haute

SMSA Shipping for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: SMSA Shipping for WooCommerce Vulnérabilité: Téléchargements arbitraires de fichiers Subscriber+ Corrigé en version: 1.0.5 Sévérité: Haute

AntiHacker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

antihacker vulnérabilités

Extension: Disable Json API, Login Lockdown, XMLRPC, Pingback, Stop User Enumeration Anti Hacker Scan
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 4.20
Sévérité: Haute

WooCommerce Shipping – DPD baltic - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WooCommerce Shipping – DPD baltic Vulnérabilité: XSS stockés Admin+, Suppression arbitraire d’options Subscriber+ Corrigé en version: 1.2.11 Sévérité: Moyenne

WP Memory - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp memory vulnérabilités

Extension: Memory Usage, Memory Limit, PHP and Server Memory Health Check and Fix Plugin
Vulnérabilité: Installation arbitraire d’extensions Subscriber+
Corrigé en version: 2.46
Sévérité: Haute

WPTools - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp tools vulnérabilités

Extension: WP Tools Increase Maximum Limits, Repair, Server PHP Info, Javascript errors, File Permissions, Transients, Error Log
Vulnérabilité: Installation arbitraire d’extensions Subscriber+
Corrigé en version: 3.43
Sévérité: Haute

Vulnérabilités d’extensions sans correction

Ultimate Tables - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Ultimate Tables
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Extension: WooSwipe WooCommerce Gallery
Vulnérabilité: Changement de paramètres Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Shortcodes and extra features for Phlox theme - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Shortcodes and extra features for Phlox theme
Vulnérabilité: Injection d’objets PHP
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Essential Real Estate - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Essential Real Estate
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Image Hover Effects - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Image Hover Effects – WordPress Plugin
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

Flat PM - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Flat PM
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

GetYourGuide Ticketing - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: GetYourGuide Ticketing
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse

ProfileGrid - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: ProfileGrid – User Profiles, Memberships, Groups and Communities
Vulnérabilité: Injection de CSV Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Donation Button - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Donation Button
Vulnérabilité: XSS stockés Contributos+, Contrôle d’accès brisé Subscriber+ donnant un spam de SMS
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Helloprint - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Plug your WooCommerce into the largest catalog of customized print products from Helloprint
Vulnérabilité: Scripts intersites réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Buddybadges - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Buddybadges
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

iFeature Slider - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: iFeature Slider
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Listingo - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Listingo
Vulnérabilité: Téléversement arbitraire non-authentifiés de fichiers
Corrigé en version: 3.2.7
Sévérité: Critique

Betheme - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Betheme
Vulnérabilité: Injection d’objets PHP Contributor+ et Subscriber+, XSS stockés Subscriber+
Corrigé en version: 26.6.3
Sévérité: Moyenne

Source: iThemes

Vulnérabilités 30 novembre 2022

Vulnérabilités de WordPress

La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!

wordpress pour votre site web

Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

All-In-One Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

all in one security vulnérabilités

Extension: All-In-One Security (AIOS) – Security and Firewall
Installations: 1 000 000+
Vulnérabilité: Actions de masse via CSRF
Corrigé en version: 5.1.1
Sévérité: Moyenne

photo gallery vulnérabilités

Extension: Photo Gallery by 10Web – Mobile-Friendly Image Gallery
Installations: 300 000+
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: 1.8.3
Sévérité: Moyenne

SEO Plugin by Squirrly SEO - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

squirrly seo vulnérabilités

Extension: SEO Plugin by Squirrly SEO
Installations: 200 000+
Vulnérabilité: Téléversement arbitraire de fichiers Contributor+
Corrigé en version: 12.1.11
Sévérité: Critique

Manage Notification E-mails - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

manage notifications email vulnérabilités

Extension: Manage Notification E-mails
Installations: 80 000+
Vulnérabilité: Changements de paramètres via CSRF
Corrigé en version: 1.8.3
Sévérité: Moyenne

Easy Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

easy-video player vulnérabilités

Extension: Easy Video Player
Installations: 40 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.3
Sévérité: Moyenne

Quiz and Survey Master - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

quiz survey master vulnérabilités

Extension: Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress
Installations: 40 000+
Vulnérabilité: Injection non-authentifié de iFrame, Mauvaise validation de saisie
Corrigé en version: 8.0.5
Sévérité: Haute

Appointment Hour Booking - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

appointment hour booking vulnérabilités

Extension: Appointment Hour Booking – WordPress Booking Plugin
Installations: 30 000+
Vulnérabilité: Injection non authentifié de iFrame, injection de csv, contournement de CAPTCHA
Corrigé en version: 1.3.73
Sévérité: Haute

wpForo Forum - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wpforo forum vulnérabilités

Extension: wpForo Forum
Installations: 20 000+
Vulnérabilité: Publication du forum Subscriber+ mis en privé/public via IDOR
Corrigé en version: 2.0.6
Sévérité: Moyenne

Directorist - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

directorist vulnérabilités

Extension: Directorist – WordPress Business Directory Plugin with Classified Ads Listings
Installations: 10 000+
Vulnérabilité: Divulgation d’information sensible Subscriber+
Corrigé en version: 7.4.4
Sévérité: Moyenne

Videojs HTML5 Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

video html5 player vulnérabilités

Extension: Videojs HTML5 Player
Installations: 10 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.1.9
Sévérité: Moyenne

External Media - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

external media vulnérabilités

Extension: External Media
Installations: 7 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.0.36
Sévérité: Basse

WP Stripe Checkout - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wp stripe checkout vulnérabilités

Extension: WP Stripe Checkout
Installations: 4 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.21
Sévérité: Moyenne

Pie Register - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

pie register vulnérabilités

Extension: Registration Forms – User Profile, Custom Registration Form, Login Form, Invitation-Based Registrations for WordPress
Installations: 4 000+
Vulnérabilité: Suppression arbitraire non-authentifié d’utilisateur
Corrigé en version: 3.8.1.3
Sévérité: Haute

Flowplayer Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

flowplayer video player vulnérabilitésExtension: Flowplayer Video Player Installations: 2 000+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.0.5 Sévérité: Moyenne

JoomSport - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

joomsport vulnérabilités

Extension: JoomSport – for Sports: Team & League, Football, Hockey & more
Installations: 2 000+
Vulnérabilité: SQLi non-authentifié
Corrigé en version: 5.2.8
Sévérité: Haute

Checkout for PayPal - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

Extension: Checkout for PayPal
Installations: 1 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.0.14
Sévérité: Moyenne

JobBoardWP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

jobboard vulnérabilités

Extension: JobBoardWP – Job Board Listings and Submissions
Installations: 1 000+
Vulnérabilité: Téléversement arbitraire non-authentifié de fichier
Corrigé en version: 1.2.2
Sévérité: Critique

inpost gallery vulnérabilités

Extension: InPost Gallery
Installations: 1 000+
Vulnérabilité: LFI à RCE non-authentifié
Corrigé en version: 2.1.4.1
Sévérité: Critique

Syncee – Global Dropshipping - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

syncee vulnérabilités

Extension: Syncee – Global Dropshipping
Installations: 700+
Vulnérabilité: Divulgation de jeton d’authentification
Corrigé en version: 1.0.10
Sévérité: Haute

Simple:Press - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

simple press vulnérabilités

Extension: Simple:Press – WordPress Forum Plugin
Installations: 600+
Vulnérabilité: Changement de fichiers arbitraire Admin+, XSS stocké non-authentifié via réponse de forum, 
Corrigé en version: 2.8.4
Sévérité: Moyenne

Responsive Lightbox2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

responsive lightbox2 vulnérabilitésExtension: Responsive Lightbox2 Installations: 400+ Vulnérabilité: XSS stockés Contributor+ Corrigé en version: 1.0.4 Sévérité: Moyenne

FlyingPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: FlyingPress Vulnérabilité: Changement arbitraire aux paramètres des XSS stockés Corrigé en version: 3.9.7 Sévérité: Haute

SMSA Shipping for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: SMSA Shipping for WooCommerce Vulnérabilité: Téléchargements arbitraires de fichiers Subscriber+ Corrigé en version: 1.0.5 Sévérité: Haute

WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: WP CSV Exporter Vulnérabilité: Injection de CSV Corrigé en version: 1.3.7 Sévérité: Basse

Wholesale Market for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour

wordpress pour votre site webExtension: Wholesale Market for WooCommerce Vulnérabilité: Téléchargement arbitraire de  fichiers Admin+, Téléchargement arbitraire de fichiers non-authentifié Corrigé en version: 1.0.8 Sévérité: Moyenne

Vulnérabilités d’extensions sans correction

Popup Manager - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Popup Manager
Vulnérabilité: Suppression arbitraire non-authentifié de Popup, XSS stockés non-authentifiés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Menu Item Visibility Control - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension

Extension: Menu Item Visibility Control
Vulnérabilité: Éxecution arbitraire de code PHP Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne

Vulnérabilités de thèmes WordPress

Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

Theme and plugin translation for Polylang - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Theme and plugin translation for Polylang
Vulnérabilité: Changement non-authentifiés de paramètres de traduction
Corrigé en version: 3.2.17
Sévérité: Moyenne

Betheme - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour

Extension: Betheme
Vulnérabilité: XSS stockés Subscriber+
Corrigé en version: 26.6.3
Sévérité: Moyenne

Source: iThemes

Besoin d'aide pour garder votre site WordPress à jour ?

Josée Barrette

J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.