Montréal

(514) 400-3797

|

Centre-du-Québec

(819) 253-0593

Rapport de vulnérabilités Wordpress octobre 2022

La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.

Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!

Vulnérabilités de WordPress

La version 6.0.3 de WordPress est un correctif publié le 17 octobre 2022. C’est un correctif qui corrige plusieurs failles de sécurité. Comme c’est un correctif de sécurité, nous vous conseillons de mettre à jour vos site le plus vite possible. Même si votre site se met à jour automatiquement, aller revérifier pour être certain que ce soit fait.

1. WP

Vulnérabilité: XSS stockés via wp-mail.php
Corrigé en version: 6.0.3
Sévérité: Moyenne
Démarche à suivre: Le problème a déjà été corrigé, vous devriez donc mettre à jour l’extension.

Hébergement WordPress

Vulnérabilités des extensions

Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.

1. Complianz - Free

Extension: Complianz – GDPR/CCPA Cookie Consent
Installations: 400 000+
Vulnérabilité: Traducteur SQLi
Corrigé en version: 6.3.4
Sévérité: Moyenne

complianz plugin vulnerabilite

2. Gutenberg

Extension: Gutenberg
Installations: 300 000+
Vulnérabilité: Multiple XSS stocké
Corrigé en version: 14.3.1
Sévérité: Basse

gutenberg plugin vulnerabilite

3. Fluent Form

Extension: Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms
Installations: 200 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 4.3.13
Sévérité: Basse

fluent form plugin vulnerabilite

4. WP All Import

Extension: Import any XML or CSV File to WordPress
Installations: 100 000+
Vulnérabilité: Accès au répertoire Admin+ via téléversement, téléversement arbitraire de Admin+ vers RCE
Corrigé en version: 3.6.9
Sévérité: Moyenne

wp all import plugin vulnerabilite

5. Import and Export Users and Customers

Extension: Import and Export Users and Customers
Installations: 70 000+
Vulnérabilité: Injection de CSV par Abonné+
Corrigé en version: 1.20.5
Sévérité: Moyenne

import export users plugin vulnerabilite

6. Easy Digital Downloads

Extension: Easy Digital Downloads – Simple eCommerce for Selling Digital Files
Installations: 50 000+
Vulnérabilité: Effacement arbitraire d’articles via CSRF
Corrigé en version: 3.0
Sévérité: Moyenne

easy digital download plugin vulnerabilite

7. eCommerce Product Catalog Plugin for WordPress

Extension: eCommerce Product Catalog Plugin for WordPress
Installations: 10 000+
Vulnérabilité: XSS réflété, XSS réflété via AJAX
Corrigé en version: 3.0.72
Sévérité: Moyenne

ecommercproduct catalog plugin vulnerabilite

8. WP Attachments

Extension: WP Attachments
Installations: 5 000+
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: 5.0.5
Sévérité: Basse

wp attachment plugin vulnerabilite

9. Chat Bubble

Extension: Chat Bubble – Floating Chat with Contact Chat Icons, Messages, Telegram, Email, SMS, Call me back
Installations: 1 000+
Vulnérabilité: scripts intersite d’authentification stocké
Corrigé en version: 2.3
Sévérité: Haute

chat bubble plugin vulnerabilite

10. Role Based Pricing for WooCommerce

Extension: Role Based Pricing for WooCommerce
Vulnérabilité: Téléversement arbitraire Subscriber+, désérialisation PHAR Subscriber+
Corrigé en version: 1.6.2
Sévérité: Haute

role based pricing woocommeerce plugin vulnerabilite

11. Product Stock Manager

Extension: Product Stock Manager
Vulnérabilité: Appels AJAX non autorisé par Subscriber+
Corrigé en version: 1.0.5
Sévérité: Haute

role based pricing woocommeerce plugin vulnerabilite

12. AliExpress Dropshipping and Fulfilment for WooCommerce

Extension: AliExpress Dropshipping and Fulfilment for WooCommerce
Vulnérabilité: Exposition de données sensibles non authentifiées
Corrigé en version: 1.1.1
Sévérité: Haute

aliexpress woocommerce dropshipping plugin vulnerabilite

13. Complianz – Premium

Extension: Complianz
Vulnérabilité: Traducteur SQLi
Corrigé en version: 6.3.6
Sévérité: Moyenne

complianz plugin vulnerabilite

14. WooCommerce Dropshipping

Extension: WooCommerce Dropshipping
Vulnérabilité: SQLi non authentifé
Corrigé en version: 4.4
Sévérité: Haute

woocommerce dropshipping plugin vulnerabilite

Vulnérabilités d’extensions sans correction

1. AB Press Optimizer

Extension: AB Press Optimizer
Vulnérabilité: scripts intersite Admin+ stocké
Installations: 10+
Corrigé en version: Pas de correctif
Sévérité: Basse

ab press optimizer plugin vulnerabilite

2. Highlight Focus

Extension: Highlight Focus
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: Pas de correctif
Sévérité: Basse

highlight focus plugin vulnerabilite

3. WP Hide

Extension: Wp-Hide
Vulnérabilité: Mises à jour de réglages non authentifiées
Corrigé en version: Pas de correctif
Sévérité: Moyenne

wp hide plugin vulnerabilite

4. WPB Show Core

Extension: WPB Show Core
Vulnérabilité: scripts intersite réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne

wpb show core plugin vulnerabilite

Vulnérabilités de thèmes WordPress

Bonne nouvelle! Aucun thème n’est présentement vulnérable. Pour l’instant, le thème que vous utilisez, peu importe lequel c’est, est tout à fait sécuritaire.

Source: iThemes

Hébergement WordPress

Besoin d'aide pour garder votre site WordPress à jour ?

Josée Barrette

J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.