Rapport de vulnérabilité WordPress : octobre 2021, partie 3

Publié: 2021-10-21

Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.

Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.

Contenu du rapport du 20 octobre 2021
    Voulez-vous que ce rapport soit livré dans votre boîte de réception chaque semaine ?
    Abonnez-vous à l'e-mail hebdomadaire

    Vulnérabilités du cœur de WordPress

    La dernière version de WordPress core est la 5.8.1 a été publiée en tant que version de sécurité et de maintenance. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !

    Vulnérabilités des plugins WordPress

    Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.

    1. WPSchoolPress

    Plugin : WPSchoolPress
    Vulnérabilité : Multiple Admin+ Stored Cross-Site Scripting
    Patché dans la version : 2.1.17
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1.17.

    Plugin : WPSchoolPress
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 2.1.10
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1.10.

    Plugin : WPSchoolPress
    Vulnérabilité : Multiple Authenticated SQL Injections
    Patché dans la version : 2.1.10
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1.10.

    2. YITH WooCommerce multi-fournisseur

    Plugin : Squaretype MYITH WooCommerce multi-fournisseurs
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 3.8.1
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.8.1.

    3. Print-O-Matic

    Plugin : Print-O-Matic
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : 2.0.3
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.3.

    4. Registre des tartes

    Plugin : registre de tarte
    Vulnérabilité : Injection SQL non authentifiée
    Patché dans la version : 3.7.1.6
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.7.1.6.

    Plugin : registre de tarte
    Vulnérabilité : Injection SQL non authentifiée
    Patché dans la version : 3.7.1.6
    Niveau de gravité : Critique

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.7.1.6.

    5. Affiliés de coupon pour WooCommerce

    Plugin : Affiliés de coupons pour WooCommerce
    Vulnérabilité : Suppression des visites de référence arbitraires via CSRF
    Patché dans la version : 4.11.3.4
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.11.3.4.

    6. Chargeur MAZ

    Plugin : chargeur MAZ
    Vulnérabilité : Contributor+ SQL Injection
    Patché dans la version : 1.3.3
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.3.

    7. Texte du pied de page de la vitrine

    Plugin : texte du pied de page de la vitrine
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Moyen

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 6 octobre 2021. Désinstallez et supprimez.

    8. Outil de quiz léger

    Plugin : Quiz Tool Lite
    Vulnérabilité : Multiple Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 28 septembre 2021. Désinstallez et supprimez.

    9. Qwizcards

    Plugin : Qwizcards
    Vulnérabilité : Admin+ Stored Cross Site Scripting
    Patché dans la version : 3.62
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.62.

    10. Traduire Loco

    Plugin : Traduire Loco
    Vulnérabilité : Injection de code PHP authentifiée
    Patché dans la version : 2.5.4
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.5.4.

    11. Générateur de visites virtuelles iPanorama 360 WordPress

    Plugin : iPanorama 360 WordPress Virtual Tour Builder
    Vulnérabilité : CSRF vers Stored Cross-Site Scripting
    Patché dans la version : 1.6.22
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.6.22.

    12. Vision interactive pour WordPress

    Plugin : Vision Interactive pour WordPress
    Vulnérabilité : Reflected Cross-Site Scripting
    Version corrigée : pas de correctif connu
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

    13. Générateur d'images interactif ImageLinks pour WordPress

    Plugin : ImageLinks Interactive Image Builder pour WordPress
    Vulnérabilité : Reflected Cross-Site Scripting
    Version corrigée : pas de correctif connu
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

    14. Plugin WordPress Js et CSS personnalisé facile

    Plugin: WordPress Easy Custom Js et plugin CSS
    Vulnérabilité : Reflected Cross-Site Scripting
    Version corrigée : pas de correctif connu
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

    15. Flipbook iPages pour WordPress

    Plugin : iPages Flipbook pour WordPress
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.4.3
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.4.3.

    16. 404 à 301

    Plugin : 404 à 301
    Vulnérabilité : Suppression de logs via CSRF
    Patché dans la version : 3.0.9
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.0.9.

    17. Post-expiration

    Plugin : Post-expiration
    Vulnérabilité : Contributor+ Calendrier de publication arbitraire
    Patché dans la version : 2.6.0
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.6.22.

    18. Images d'en-tête WP

    Plugin : Images d'en-tête WP
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 2.0.1
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.1.

    19. Abonnements et adhésions pour PayPal

    Plugin : Abonnements et adhésions pour PayPal
    Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé depuis le 30 septembre 2021. Désinstallez et supprimez.

    20. Acceptez les dons avec PayPal

    Plugin : Accepter les dons avec PayPal
    Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
    Patché dans la version : 1.3.1
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.1.

    21. Événements PayPal

    Plug-in : Événements PayPal
    Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé depuis le 30 septembre 2021. Désinstallez et supprimez.

    22. Gestionnaire de code de pied de page d'en-tête

    Plugin : Gestionnaire de code d'en-tête et de pied de page
    Vulnérabilité : Admin+ SQL Injections
    Patché dans la version : 1.1.14
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.1.14.

    23. wpDiscuz

    Plugin : wpDiscuz
    Vulnérabilité : Ajout/Édition/Suppression Arbitraire de Commentaire via CSRF
    Patché dans la version : 7.3.4
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 7.3.4.

    24. Impression 3D Lite

    Plugin : 3D Print Lite
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.9.1.6
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.9.1.6.

    25. Forum d'Asgaros

    Plugin : Forum Asgaros
    Vulnérabilité : Redirect Deletion via CSRF
    Patché dans la version : 1.15.13
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.15.13.

    26. Redirection WP SEO 301

    Plugin : WP SEO Redirect 301
    Vulnérabilité : Redirect Deletion via CSRF
    Patché dans la version : 2.3.2
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.2.

    27. WCFM – Gestionnaire frontal pour WooCommerce

    Plugin : WCFM - Gestionnaire d'interface pour WooCommerce
    Vulnérabilité : Customer/Subscriber+ SQL Injection
    Patché dans la version : 6.5.12
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.5.12.

    28. Gestionnaire d'affiliation

    Plugin : Gestionnaire d'affiliation
    Vulnérabilité : Admin+ SQL Injections
    Patché dans la version : 2.8.7
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.8.7.

    29. Messages similaires

    Plugin : Messages similaires
    Vulnérabilité : Admin+ Arbitrary PHP Code Execution
    Patché dans la version : 3.1.6
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.1.6.

    30. Tableau des produits WooCommerce

    Plugin : Tableau des produits WooCommerce
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.0.4
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.4.

    31. Gestionnaire de remises pour les produits

    Plugin : Gestionnaire de remises pour les produits
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 3.4.5
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.4.5.

    32. Créateur de témoignages

    Plugin : Générateur de témoignages
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : 1.6.0
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.6.0.

    33. Brizy

    Plugin : Brizy
    Vulnérabilité : Autorisation incorrecte de publier une modification
    Patché dans la version : 2.3.12
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.12.

    Plugin : Brizy
    Vulnérabilité : Authenticated Stored Cross-Site Scripting
    Patché dans la version : 2.3.12
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.12.

    Plugin : Brizy
    Vulnérabilité : Téléchargement de fichier authentifié et traversée de chemin
    Patché dans la version : 2.3.12
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.12.

    34. Catégories colorées

    Plugin : Catégories colorées
    Vulnérabilité : Mise à jour des couleurs arbitraires via CSRF
    Patché dans la version : 2.0.15
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.15.

    35. Cache le plus rapide de WP

    Plugin : WP Fastest Cache
    Vulnérabilité : Subscriber+ SQL Injection
    Patché dans la version : 0.9.5
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 0.9.5.

    Plugin : WP Fastest Cache
    Vulnérabilité : CSRF vers Stored Cross-Site Scripting
    Patché dans la version : 0.9.5
    Niveau de gravité : Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 0.9.5.

    36. Chef d'entreprise

    Plugin : Gestionnaire d'entreprise
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

    37. Job Board Vanille

    Plugin : Job Board Vanila
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    38. Liste d'emplois WpGenius

    Plugin : Liste d'emplois WpGenius
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    39. Gestionnaire d'emplois

    Plug-in : gestionnaire de tâches
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    40. Portail d'emploi

    Plugin : Portail d'emploi
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    41. Affiche croisée MyBB

    Plugin : MyBB Cross-Poster
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    42. Avis administratifs de KJM

    Plugin : avis d'administration KJM
    Vulnérabilité : Autorisation incorrecte de publier une modification
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 13 octobre 2021. Désinstallez et supprimez.

    43. HAL

    Plug-in : HAL
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : 2.2
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.2.

    44. Boîte bio de l'auteur

    Plugin : Auteur Bio Box
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : 3.4.0
    Niveau de gravité : Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.4.0.

    45. WordPress + Microsoft Office 365

    Plugin : WordPress + Microsoft Office 365
    Vulnérabilité : Script intersite stocké non authentifié
    Patché dans la version : 15.4
    Niveau de gravité : Critique

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 15.4.

    46. ​​Sondage YOP

    Plugin : Sondage YOP
    Vulnérabilité : Author+ Stored Cross-Site Scripting via le module Options
    Patché dans la version : 6.3.1
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.3.1.

    Plugin : Sondage YOP
    Vulnérabilité : Author+ Stored Cross-Site Scripting via Preview Module
    Patché dans la version : 6.3.1
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.3.1.

    47. Importateur d'emplois Indeed

    Plugin : Indeed Job Importer
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Élevé

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 14 octobre 2021. Désinstallez et supprimez.

    48. MPL-Publisher – Auto-publiez votre livre et ebook

    Plugin : MPL-Publisher – Auto-publiez votre livre & ebook
    Vulnérabilité : Admin+ Stored Cross-Site Scripting
    Patché dans la version : Pas de correctif connu
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

    49. JobBoardWP

    Plugin : JobBoardWP
    Vulnérabilité : Autorisation incorrecte de publier une modification
    Patché dans la version : Pas de correctif connu - plugin fermé
    Niveau de gravité : Faible

    Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 14 octobre 2021. Désinstallez et supprimez.

    Vulnérabilités du thème WordPress

    1. Blog moderne Squaretype

    Thème : Blog moderne de Squaretype
    Vulnérabilité : Divulgation non authentifiée des messages privés/programmés
    Patché dans la version : 3.0.4
    Niveau de gravité : Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.0.4.

    Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables

    Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.

    1. Analysez quotidiennement les vulnérabilités connues du site Web

    Le plugin iThemes Security Pro recherche la raison n°1 pour laquelle les sites WordPress sont piratés : des plugins obsolètes et des thèmes avec des vulnérabilités connues.

    2. Mise à jour automatique vers les versions sécurisées

    La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.

    3. Surveiller les modifications de fichiers

    La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.

    Obtenez iThemes Security Pro avec surveillance de site Web 24h/24 et 7j/7

    iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.

    • Scanner de site pour les vulnérabilités des plugins et des thèmes
    • Détection de changement de fichier
    • Tableau de bord de sécurité du site Web en temps réel
    • Journaux de sécurité WordPress
    • Appareils de confiance
    • reCAPTCHA
    • Protection contre la force brute
    • Authentification à deux facteurs
    • Liens de connexion magiques
    • Escalade des privilèges
    • Vérification et refus des mots de passe compromis

    Obtenez iThemes Security Pro