Rapport de vulnérabilité WordPress : janvier 2022, partie 2
Publié: 2022-01-12Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Nouveau dans ce rapport : les vulnérabilités sont désormais classées par nombre d'installations actives, plutôt que par date de divulgation.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde !
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress a été publiée le 6 janvier 2022 en tant que version de sécurité à cycle court. Étant donné que WordPress 5.8.3 est une version de sécurité, nous vous recommandons de mettre à jour tous vos sites immédiatement.
Vous pouvez mettre à jour WordPress 5.8.3 en téléchargeant depuis WordPress.org ou en visitant votre tableau de bord d'administration WordPress > Mises à jour et en cliquant sur Mettre à jour maintenant .
Si vous avez des sites qui ont activé les mises à jour automatiques en arrière-plan, ils devraient déjà avoir été mis à jour avec succès.
Noyau WordPress
Vulnérabilité : Injection SQL via WP_Query
Patché dans la version : 5.8.3
Explication : en raison d'un manque de nettoyage approprié dans WP_Meta_Query, il existe un risque d'injection SQL aveugle.
Vulnérabilité : Author+ Stored XSS via Post Slugs
Patché dans la version : 5.8.3
Explication : les utilisateurs authentifiés à faibles privilèges (comme l'auteur) dans le noyau de WordPress peuvent exécuter JavaScript/effectuer une attaque XSS stockée via des post-slugs, ce qui peut affecter les utilisateurs à privilèges élevés.
Vulnérabilité : Super Admin Object Injection in Multisites
Patché dans la version : 5.8.3
Explication : Sur un site multisite, les utilisateurs dotés du rôle de super administrateur peuvent ignorer le renforcement explicite/supplémentaire sous certaines conditions via l'injection d'objet.
Vulnérabilité : Injection SQL via WP_Meta_Query
Patché dans la version : 5.8.3
Explication : en raison d'un manque de nettoyage approprié dans WP_Meta_Query, il existe un risque d'injection SQL aveugle.
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.
1. Prise en charge SVG
Plug-in : Prise en charge de SVG
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 800 000+
Patché dans la version : 2.3.20
Niveau de gravité : Faible
2. Nettoyage des actifs
Plug-in : nettoyage des ressources
Vulnérabilité : Reflected Cross-Site Scripting via AJAX Action
Installations actives : 100 000+
Patché dans la version : 1.3.8.5
Niveau de gravité : Élevé
Plug-in : nettoyage des ressources
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 100 000+
Patché dans la version : 1.3.8.5
Niveau de gravité : Moyen
3. Abonnements payants Pro
Plugin : Abonnements payants Pro
Vulnérabilité : Injection SQL aveugle non authentifiée
Installations actives : 100 000+
Patché dans la version : 2.6.7
Niveau de gravité : Critique
4. NextScripts : affiche automatique des réseaux sociaux
Plugin : NextScripts : affiche automatique des réseaux sociaux
Vulnérabilité : Arbitrary Post Deletion via CSRF
Installations actives : 90 000+
Patché dans la version : 4.3.25
Niveau de gravité : Moyen
Plugin : NextScripts : affiche automatique des réseaux sociaux
Vulnérabilité : XSS stocké non authentifié
Installations actives : 90 000+
Patché dans la version : 4.3.25
Niveau de gravité : Élevé
5. Recherche d'ivoire
Plugin : Recherche d'ivoire
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Installations actives : 80 000+
Patché dans la version : 5.4.1
Niveau de gravité : Élevé
6. Flux social facile
Plugin : flux social facile
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 70 000+
Patché dans la version : 6.2.7
Niveau de gravité : Élevé
7. Éditeur visuel de styles CSS
Plugin : éditeur de style CSS visuel
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 50 000+
Patché dans la version : 7.5.4
Niveau de gravité : Élevé
8. Entrées du formulaire de contact
Plugin : Entrées du formulaire de contact
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 40 000+
Patché dans la version : 1.1.7
Niveau de gravité : Élevé
9. Gestionnaire Cron avancé
Plugin : gestionnaire de Cron avancé
Vulnérabilité : Subscriber+ Arbitrary Events/Schedules Creation/Deletion
Installations actives : 30 000+
Patché dans la version : 2.4.2
Niveau de gravité : Moyen
10. WPLegalPages
Plugin : WPLegalPages
Vulnérabilité : Subscriber+ Arbitrary Settings Update to Stored XSS
Installations actives : 20 000+
Patché dans la version : 2.7.1
Niveau de gravité : Moyen
11. Statistiques des visiteurs WP (trafic en temps réel)
Plugin : Statistiques des visiteurs WP (trafic en temps réel)
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 20 000+
Patché dans la version : 4.8
Niveau de gravité : Élevé
12. Dossiers malveillants
Plugin : Wicked Dossiers
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 10 000+
Patché dans la version : 2.8.10
Niveau de gravité : Élevé
13. SupportCandy
Plugin : SupportCandy
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 2.2.7
Niveau de gravité : Moyen
Plugin : SupportCandy
Vulnérabilité : CSRF vers Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 2.2.7
Niveau de gravité : Moyen
Plugin : SupportCandy
Vulnérabilité : Suppression arbitraire de tickets via CSRF
Installations actives : 10 000+
Patché dans la version : 2.2.7
Niveau de gravité : Élevé
Plugin : SupportCandy
Vulnérabilité : Suppression arbitraire de tickets non authentifiés
Installations actives : 10 000+
Patché dans la version : 2.2.7
Niveau de gravité : Élevé
Plugin : SupportCandy
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 2.2.7
Niveau de gravité : Moyen
14. Réorganiser les produits Woocommerce
Plugin : réorganiser les produits Woocommerce
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 10 000+
Patché dans la version : 3.0.8
Niveau de gravité : Élevé
15. Bloqueur de pays IP2Location
Plugin : Bloqueur de pays IP2Location
Vulnérabilité : Interdiction arbitraire de pays via CSRF
Installations actives : 10 000+
Patché dans la version : 2.26.6
Niveau de gravité : Moyen
Plugin : Bloqueur de pays IP2Location
Vulnérabilité : Subscriber+ Arbitrary Country Ban
Installations actives : 10 000+
Patché dans la version : 2.26.6
Niveau de gravité : Moyen
Plugin : Bloqueur de pays IP2Location
Vulnérabilité : Ban Bypass
Installations actives : 10 000+
Patché dans la version : 2.26.6
Niveau de gravité : Moyen
16. Support impressionnant - WordPress HelpDesk & Support Plugin
Plugin : Support impressionnant – Titan Framework
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 10 000+
Patché dans la version : 6.0.11
Niveau de gravité : Élevé
17. Catalogue de produits ultime
Plugin : Catalogue de produits ultime
Vulnérabilité : Subscriber+ Arbitrary Product Creation & Settings Update
Installations actives : 10 000
Patché dans la version : 5.0.26
Niveau de gravité : Moyen
18. Embeddeur de documents
Plugin : Incorporateur de documents
Vulnérabilité : Subscriber+ Arbitrary Private/Draft Post Title Divulgation
Installations actives : 9 000+
Patché dans la version : 1.7.9
Niveau de gravité : Moyen
Plugin : Incorporateur de documents
Vulnérabilité : Divulgation arbitraire non authentifiée du titre de l'article privé/de brouillon
Installations actives : 9 000+
Patché dans la version : 1.7.9
Niveau de gravité : Moyen
19. RVM - Cartes vectorielles réactives
Plugin : RVM - Cartes vectorielles réactives
Vulnérabilité : Subscriber+ Arbitrary File Read
Installations actives : 6 000+
Patché dans la version : 6.4.2
Niveau de gravité : Élevé
20. Médiamatique
Plugin : Mediamatic
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 3 000+
Patché dans la version : 2.8.1
Niveau de gravité : Élevé
21. Woopra
Plugin : Woopra
Vulnérabilité : Téléchargement de fichier arbitraire non authentifié
Installations actives : 2 000+
Patché dans la version : 1.4.3.2
Niveau de gravité : Critique
22. Gestionnaire d'accès aux droits d'utilisateur
Plugin : Gestionnaire d'accès aux droits d'utilisateur
Vulnérabilité : Access Restriction Bypass
Installations actives : 900+
Patché dans la version : 1.0.8
Niveau de gravité : Moyen
23. Bouton YuMoney
Plugin : Bouton YuMoney – Titan Framework
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 900+
Patché dans la version : 2.4.0
Niveau de gravité : Élevé
24. Intégration TrustMate.io pour WooCommerce
Plugin : intégration TrustMate.io pour WooCommerce
Vulnérabilité : Mise à jour des paramètres du plugin Subscriber+ Arbitrary
Installations actives : 300+
Patché dans la version : 1.8.12
Niveau de gravité : Élevé
Plugin : intégration TrustMate.io pour WooCommerce
Vulnérabilité : mise à jour de l'option de blog arbitraire d'abonné +
Installations actives : 300+
Patché dans la version : 1.7.1
Niveau de gravité : Élevé
25. Vrai classement
Plugin : True Ranker
Vulnérabilité : Accès à un fichier arbitraire non authentifié via la traversée de chemin
Installations actives : 300+
Patché dans la version : 2.2.4
Niveau de gravité : Élevé
26. WebHotelier pour WordPress
Plugin : WebHotelier pour WordPress – Titan Framework
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 200+
Patché dans la version : 1.6.1
Niveau de gravité : Élevé
Vulnérabilités du plugin Premium
Dans cette section, les dernières vulnérabilités du plugin WordPress premium ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
27. Gestionnaire avancé de Cron Pro
Plugin : Advanced Cron Manager Pro
Vulnérabilité : Subscriber+ Arbitrary Events/Schedules Creation/Deletion
Patché dans la version : 2.5.3
Niveau de gravité : Moyen
Vulnérabilités du plugin WordPress : aucun correctif connu
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
28. Formulaire de contact 7 skins
Plugin : Formulaire de contact 7 skins
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 30 000+
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen
29. WooRockets Nitro
Plugin : WooRockets Nitro
Vulnérabilité : Installation de plugin arbitraire non authentifiée
Patché dans la version : Pas de correctif connu
Niveau de gravité : Critique
30. Affilié Amazon
Plugin : Affilié Amazon
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
