La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.
Chaque vulnérabilité est classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!
Table des matières
Vulnérabilités 16 novembre 2022
Vulnérabilités de WordPress
La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!
Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Broken Link Checker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Broken Link Checker
Installations: 700 000+
Vulnérabilité: Script intersite Admin+
Corrigé en version: 1.11.20
Sévérité: Basse
Chaty - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Floating Chat Widget: Contact Chat Icons, Telegram Chat, Line, WeChat, Email, SMS, Call Button – Chaty
Installations: 100 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 3.0.3
Sévérité: Moyenne
Feed Them Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Feed Them Social – for Twitter feed, Youtube and more
Installations: 70 000+
Vulnérabilité: XSS Stocké dans Subscriber+, changements de paramètre via CSRF
Corrigé en version: 3.0.1
Sévérité: Moyenne
Blog2Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Blog2Social: Social Media Auto Post & Scheduler
Installations: 70 000+
Vulnérabilité: Changements de paramètre via Subscriber+
Corrigé en version: 6.9.12
Sévérité: Moyenne
Advanced Import - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Advanced Import : One Click Import for WordPress or Theme Demo Data
Installations: 70 000+
Vulnérabilité: Installation et activation arbitraire d’extension via CSRF
Corrigé en version: 1.3.8
Sévérité: Haute
TeraWallet – For WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: TeraWallet – For WooCommerce
Installations: 20 000+
Vulnérabilité: Subscriber+ verrouillage/déverrouillage arbitraire de portefeuille via IDOR
Corrigé en version: 1.4.4
Sévérité: Moyenne
Form Vibes - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Form Vibes – Database Manager for Forms
Installations: 20 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.4.6
Sévérité: Moyenne
Theme Demo Importer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Theme Demo Importer
Installations: 10 000+
Vulnérabilité: Admin+ téléversement arbitraire de fichiers
Corrigé en version: 1.1.1
Sévérité: Moyenne
Seed Social - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Seed Social
Installations: 10 000+
Vulnérabilité: Admin+ XSS stockés
Corrigé en version: 2.0.4
Sévérité: Low
Salon Booking System - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Salon Booking System
Installations: 8 000+
Vulnérabilité: Scripts intersites réflétés
Corrigé en version: 7.9.4
Sévérité: Moyenne
WP OAuth Server - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP OAuth Server (OAuth Authentication)
Installations: 4 000+
Vulnérabilité: Admin+ XSS stockés, Régénération secrète des clients via CSRF
Corrigé en version: 4.2.2
Sévérité: Basse
Export customers list CSV for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Export customers list csv for WooCommerce, WordPress users csv, export Guest customer list
Installations: 3 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 2.0.69
Sévérité: Basse
Comic Book Management System - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Comic Book Management System
Installations: 10+
Vulnérabilité: SQLi Admin+
Corrigé en version: 2.2.0
Sévérité: Moyenne
WordPress Countdown Widget - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WordPress Countdown Widget
Vulnérabilité: XSS stocké Admin+
Corrigé en version: 3.1.9.3
Sévérité: Basse
WP Affiliate Platform - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Becustom - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Vulnérabilités d’extensions sans correction
WPUpper Share Buttons - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WPUpper Share Buttons
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Helloprint - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Advanced WP Columns - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Advanced WP Columns
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Follow Me Plugin - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Follow Me Plugin
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Simple Video Embedder - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Simple Video Embedder
Vulnérabilité: Scripts intersites stockés Contributor+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Transposh WordPress Translation - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Transposh WordPress Translation
Vulnérabilité: Changements de paramètres via contournement d’autorisation
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WP Page Builder - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WP Page Builder
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Uji Countdown - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Uji Countdown
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Add Comments - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Add Comments
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
3DPrint - Le problème n’a pas été corrigé. Vous devriez désactiver cette extension
Extension: 3DPrint
Vulnérabilité: Suppression arbitraire de fichiers et de répertoires via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute
Clerk - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Clerk
Vulnérabilité: Contournement d’autorisation et divulgation de clefs API
Corrigé en version: Pas de correctif
Sévérité: Basse
Photospace Gallery - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Photospace Gallery
Vulnérabilité: Scripts intersites stockés Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
PostmagThemes Demo - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: PostmagThemes Demo
Vulnérabilité: Téléversements arbitraire de fichiers Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Workreap – Freelance Marketplace and Directory - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Workreap
Vulnérabilité: Divulgation de messages privés Subscriber+ via IDOR
Corrigé en version: 2.6.3
Sévérité: Moyenne
Source: iThemes
Vulnérabilités 23 novembre 2022
Vulnérabilités de WordPress
La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!
Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
All-In-One Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
SVG Support - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: SVG Support
Installations: 1 000 000+
Vulnérabilité: XSS stockés Author+
Corrigé en version: 2.5.2
Sévérité: Moyenne
WordPress Popular Posts - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WordPress Popular Posts
Installations: 200 000+
Vulnérabilité: Vues authentifiées manipulées
Corrigé en version: 6.1.0
Sévérité: Moyenne
Plugin for Google Reviews - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Plugin for Google Reviews
Installations: 100 000+
Vulnérabilité: Création de widget Subscriber+
Corrigé en version: 2.2.3
Sévérité: Moyenne
Icegram Express - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Icegram Express – Email Subscribers, Newsletters and Marketing Automation Plugin
Installations: 100 000+
Vulnérabilité: SQLi Subscriber+
Corrigé en version: 5.5.0
Sévérité: Haute
Crowdsignal Dashboard - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Crowdsignal Dashboard – Polls, Surveys & more
Installations: 90 000+
Vulnérabilité: Changement des paramètres d’évaluation Contributor+
Corrigé en version: 3.0.10
Sévérité: Moyenne
Livemesh Addons for Elementor - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Livemesh Addons for Elementor
Installations: 90 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 7.2.4
Sévérité: Basse
Booster for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Booster for WooCommerce
Installations: 70 000+
Vulnérabilité: Création/suppression de rôle personnalisé via CSRF
Corrigé en version: 5.6.7
Sévérité: Moyenne
User Registration - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: User Registration – Custom Registration Form, Login Form And User Profile For WordPress
Installations: 60 000+
Vulnérabilité: Téléversement arbitraire de fichiers Subscriber+
Corrigé en version: 2.2.4.1
Sévérité: Critique
Permalink Manager Lite - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Permalink Manager Lite
Installations: 60 000+
Vulnérabilité: Changements de paramètres vis CSRF
Corrigé en version: 2.2.20.2
Sévérité: Moyenne
Dokan - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy
Installations: 60 000+
Vulnérabilité: SQLi non-identifié
Corrigé en version: 3.7.6
Sévérité: Haute
Easy Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Jetpack CRM - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Jetpack CRM – Clients, Leads, Invoices, Billing, Email Marketing, & Automation
Installations: 30 000+
Vulnérabilité: Scripts intersite stockés Admin+
Corrigé en version: 5.4.3
Sévérité: Basse
wpForo Forum - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Ezoic - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Ezoic
Installations: 20 000+
Vulnérabilité: XSS stockés Admin+, changement de paramètre non-authentifiés aux XSS stockés
Corrigé en version: 2.8.9
Sévérité: Basse
Welcart e-Commerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Welcart e-Commerce
Installations: 20 000+
Vulnérabilité: Scripts intersites stockés Subscriber+, Création/changement/suppression arbitraire de mode de livraison
Corrigé en version: 2.8.4
Sévérité: Moyenne
StopBadBots - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection
Installations: 10 000+
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 7.24
Sévérité: Haute
Directorist - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Videojs HTML5 Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Motors - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Motors – Car Dealer, Classifieds & Listing
Installations: 9 000+
Vulnérabilité: Téléversement arbitraire de fichiers
Corrigé en version: 1.4.4
Sévérité: Critique
Booking Calendar - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Booking calendar, Appointment Booking System
Installations: 5 000+
Vulnérabilité: Téléversement arbitraire non-authentifié de fichiers
Corrigé en version: 3.2.2
Sévérité: Critique
News Announcement Scroll - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: News Announcement Scroll
Installations: 5 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 9.0.0
Sévérité: Basse
WP Stripe Checkout - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Stripe Checkout
Installations: 4 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.21
Sévérité: Moyenne
Export Users With Meta - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Export Users With Meta
Installations: 3 000+
Vulnérabilité: Injection de CSV Subscriber+
Corrigé en version: 0.6.10
Sévérité: Basse
Flowplayer Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Car Dealer - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Car Dealer (Dealership) and Vehicle sales WordPress Plugin
Installations: 1 000+
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 3.05
Sévérité: High
Checkout for PayPal - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Checkout for PayPal
Installations: 1 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.0.14
Sévérité: Moyenne
Anthologize - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Anthologize
Installations: 900+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.8.1
Sévérité: Basse
Chameleon - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Chameleon
Installations: 500+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.4.4
Sévérité: Basse
Responsive Lightbox2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Easy Form Builder - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Easy Form Builder
Installations: 300+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 3.4.0
Sévérité: Basse
Booster Elite for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Booster Plus for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Booster Plus for WooCommerce
Vulnérabilité: Création/suppression de rôles personnalisés via CSRF
Corrigé en version: 5.6.6
Sévérité: Moyenne
Cooked Pro - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
SMSA Shipping for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
AntiHacker - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Disable Json API, Login Lockdown, XMLRPC, Pingback, Stop User Enumeration Anti Hacker Scan
Vulnérabilité: Installation arbitraire d’extension Subscriber+
Corrigé en version: 4.20
Sévérité: Haute
WooCommerce Shipping – DPD baltic - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WP Memory - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Memory Usage, Memory Limit, PHP and Server Memory Health Check and Fix Plugin
Vulnérabilité: Installation arbitraire d’extensions Subscriber+
Corrigé en version: 2.46
Sévérité: Haute
WPTools - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Tools Increase Maximum Limits, Repair, Server PHP Info, Javascript errors, File Permissions, Transients, Error Log
Vulnérabilité: Installation arbitraire d’extensions Subscriber+
Corrigé en version: 3.43
Sévérité: Haute
Vulnérabilités d’extensions sans correction
Ultimate Tables - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Ultimate Tables
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
WooSwipe WooCommerce Gallery - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: WooSwipe WooCommerce Gallery
Vulnérabilité: Changement de paramètres Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Shortcodes and extra features for Phlox theme - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Shortcodes and extra features for Phlox theme
Vulnérabilité: Injection d’objets PHP
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Essential Real Estate - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Essential Real Estate
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Image Hover Effects - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Image Hover Effects – WordPress Plugin
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
Flat PM - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Flat PM
Vulnérabilité: Scripts intersites reflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
GetYourGuide Ticketing - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: GetYourGuide Ticketing
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
ProfileGrid - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: ProfileGrid – User Profiles, Memberships, Groups and Communities
Vulnérabilité: Injection de CSV Subscriber+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Donation Button - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Donation Button
Vulnérabilité: XSS stockés Contributos+, Contrôle d’accès brisé Subscriber+ donnant un spam de SMS
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Helloprint - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Plug your WooCommerce into the largest catalog of customized print products from Helloprint
Vulnérabilité: Scripts intersites réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Buddybadges - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Buddybadges
Vulnérabilité: SQLi Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
iFeature Slider - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: iFeature Slider
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Listingo - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Listingo
Vulnérabilité: Téléversement arbitraire non-authentifiés de fichiers
Corrigé en version: 3.2.7
Sévérité: Critique
Betheme - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Betheme
Vulnérabilité: Injection d’objets PHP Contributor+ et Subscriber+, XSS stockés Subscriber+
Corrigé en version: 26.6.3
Sévérité: Moyenne
Vulnérabilités 30 novembre 2022
Vulnérabilités de WordPress
La version 6.1.1 de Wordpress est sortie le 15 novembre dernier. C’est une version de maintenance à court-terme qui règle 29 bogues dans Wordpress et 21 bogues dans l’éditeur bloc. Comme c’est une mise à jour de Wordpress, n’oubliez pas de la faire le plus tôt possible!
Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
All-In-One Security - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: All-In-One Security (AIOS) – Security and Firewall
Installations: 1 000 000+
Vulnérabilité: Actions de masse via CSRF
Corrigé en version: 5.1.1
Sévérité: Moyenne
Photo Gallery - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Photo Gallery by 10Web – Mobile-Friendly Image Gallery
Installations: 300 000+
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: 1.8.3
Sévérité: Moyenne
SEO Plugin by Squirrly SEO - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: SEO Plugin by Squirrly SEO
Installations: 200 000+
Vulnérabilité: Téléversement arbitraire de fichiers Contributor+
Corrigé en version: 12.1.11
Sévérité: Critique
Manage Notification E-mails - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Manage Notification E-mails
Installations: 80 000+
Vulnérabilité: Changements de paramètres via CSRF
Corrigé en version: 1.8.3
Sévérité: Moyenne
Easy Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Easy Video Player
Installations: 40 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.3
Sévérité: Moyenne
Quiz and Survey Master - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress
Installations: 40 000+
Vulnérabilité: Injection non-authentifié de iFrame, Mauvaise validation de saisie
Corrigé en version: 8.0.5
Sévérité: Haute
Appointment Hour Booking - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Appointment Hour Booking – WordPress Booking Plugin
Installations: 30 000+
Vulnérabilité: Injection non authentifié de iFrame, injection de csv, contournement de CAPTCHA
Corrigé en version: 1.3.73
Sévérité: Haute
wpForo Forum - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: wpForo Forum
Installations: 20 000+
Vulnérabilité: Publication du forum Subscriber+ mis en privé/public via IDOR
Corrigé en version: 2.0.6
Sévérité: Moyenne
Directorist - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Directorist – WordPress Business Directory Plugin with Classified Ads Listings
Installations: 10 000+
Vulnérabilité: Divulgation d’information sensible Subscriber+
Corrigé en version: 7.4.4
Sévérité: Moyenne
Videojs HTML5 Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Videojs HTML5 Player
Installations: 10 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.1.9
Sévérité: Moyenne
External Media - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: External Media
Installations: 7 000+
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 1.0.36
Sévérité: Basse
WP Stripe Checkout - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: WP Stripe Checkout
Installations: 4 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.2.2.21
Sévérité: Moyenne
Pie Register - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Registration Forms – User Profile, Custom Registration Form, Login Form, Invitation-Based Registrations for WordPress
Installations: 4 000+
Vulnérabilité: Suppression arbitraire non-authentifié d’utilisateur
Corrigé en version: 3.8.1.3
Sévérité: Haute
Flowplayer Video Player - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
JoomSport - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: JoomSport – for Sports: Team & League, Football, Hockey & more
Installations: 2 000+
Vulnérabilité: SQLi non-authentifié
Corrigé en version: 5.2.8
Sévérité: Haute
Checkout for PayPal - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Checkout for PayPal
Installations: 1 000+
Vulnérabilité: XSS stockés Contributor+
Corrigé en version: 1.0.14
Sévérité: Moyenne
JobBoardWP - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: JobBoardWP – Job Board Listings and Submissions
Installations: 1 000+
Vulnérabilité: Téléversement arbitraire non-authentifié de fichier
Corrigé en version: 1.2.2
Sévérité: Critique
InPost Gallery - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: InPost Gallery
Installations: 1 000+
Vulnérabilité: LFI à RCE non-authentifié
Corrigé en version: 2.1.4.1
Sévérité: Critique
Syncee – Global Dropshipping - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Syncee – Global Dropshipping
Installations: 700+
Vulnérabilité: Divulgation de jeton d’authentification
Corrigé en version: 1.0.10
Sévérité: Haute
Simple:Press - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Extension: Simple:Press – WordPress Forum Plugin
Installations: 600+
Vulnérabilité: Changement de fichiers arbitraire Admin+, XSS stocké non-authentifié via réponse de forum,
Corrigé en version: 2.8.4
Sévérité: Moyenne
Responsive Lightbox2 - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
FlyingPress - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
SMSA Shipping for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
WP CSV Exporter - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Wholesale Market for WooCommerce - Le problème a déjà été corrigé, vous devriez donc mettre l’extension à jour
Vulnérabilités d’extensions sans correction
Popup Manager - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Popup Manager
Vulnérabilité: Suppression arbitraire non-authentifié de Popup, XSS stockés non-authentifiés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Menu Item Visibility Control - Le problème n’a pas été corrigé et l’extension est fermée. Vous devriez désactiver et supprimer cette extension
Extension: Menu Item Visibility Control
Vulnérabilité: Éxecution arbitraire de code PHP Admin+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section sera décrit les thèmes qui sont vulnérables. Chaque mention de thème inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
Theme and plugin translation for Polylang - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Theme and plugin translation for Polylang
Vulnérabilité: Changement non-authentifiés de paramètres de traduction
Corrigé en version: 3.2.17
Sévérité: Moyenne
Betheme - Le problème a déjà été corrigé, vous devriez donc mettre le thème à jour
Extension: Betheme
Vulnérabilité: XSS stockés Subscriber+
Corrigé en version: 26.6.3
Sévérité: Moyenne
Besoin d'aide pour garder votre site WordPress à jour ?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.