Rapport de vulnérabilité WordPress : octobre 2021, partie 4
Publié: 2021-10-27Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Vulnérabilités du cœur de WordPress
La dernière version de WordPress core est la 5.8.1 a été publiée en tant que version de sécurité et de maintenance. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Fichiers partagés
Plug-in : Fichiers partagés
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.6.61
Niveau de gravité : Faible
2. Redirecteur QR
Plugin : Redirecteur QR
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 1.6.1
Niveau de gravité : Moyen
Plugin : Redirecteur QR
Vulnérabilité : Subscriber+ Arbitrary QR Redirect Response Status Update
Patché dans la version : 1.6
Niveau de gravité : Moyen
3. Défilement lisse MouseWheel
Plugin : MouseWheel Smooth Scroll
Vulnérabilité : Plugin's Setting Update via CSRF
Patché dans la version : 5.7
Niveau de gravité : Moyen
4. Insérer des pages
Plugin : Insérer des pages
Vulnérabilité : Contributor+ Arbitrary Posts/Pages Access
Patché dans la version : 3.7.0
Niveau de gravité : Moyen
Plugin : Insérer des pages
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 3.7.0
Niveau de gravité : Moyen
5. Redirection SEO
Plugin : Redirection SEO
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 8.2
Niveau de gravité : Élevé
6. Don Paypal
Plugin : Don Paypal
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.3.2
Niveau de gravité : Faible
7. IMPress pour le courtier IDX
Plugin : IMPress pour IDX Broker
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.0.6
Niveau de gravité : Élevé
8. Connexion JWT simple
Plug-in : Connexion JWT simple
Vulnérabilité : Mise à jour des paramètres arbitraires pour la prise de contrôle du site via CSRF
Patché dans la version : 3.2.1
Niveau de gravité : Élevé
9. Mes billets
Plugin : Mes billets
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 1.8.31
Niveau de gravité : Élevé
10. Facturation client par Sprout Invoices
Plugin : Facturation client par Sprout Invoices
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 19.9.7
Niveau de gravité : Faible
11. Journal des e-mails
Plugin : Journal des e-mails
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 2.4.7
Niveau de gravité : Moyen
12. Amplificateur de score de performance WP
Amplificateur de score de performance du plugin WP
Vulnérabilité : Modification des paramètres via CSRF
Patché dans la version : 2.1
Niveau de gravité : Moyen
13. Intégration Active Directory / Intégration LDAP
Plugin : Intégration Active Directory / Intégration LDAP
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 3.6.95
Niveau de gravité : Élevé
14. TableOn
Plug-in : TableOn
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.0.1
Niveau de gravité : Moyen
15. Curseur d'image réactif, galerie de photos et carrousel
Plugin : curseur d'image réactif, galerie de photos et carrousel
Vulnérabilité : Slider Clone/Save/Delete via CSRF
Patché dans la version : 1.3.2
Niveau de gravité : Moyen
Plugin : curseur d'image réactif, galerie de photos et carrousel
Vulnérabilité : Subscriber+ Arbitrary Post Access
Patché dans la version : 1.3.6
Niveau de gravité : Moyen
16. Page Plan du site WP
Plugin : Page de plan de site WP
Vulnérabilité : Admin+ Stored Cross Site Scripting
Patché dans la version : 1.7.0
Niveau de gravité : Faible
17. Diffusez
Plug-in : flux
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 3.8.2
Niveau de gravité : Moyen
18. Utile
Plugin : Utile
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 4.4.59
Niveau de gravité : Faible
19. LearnPress
Plugin : LearnPress
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 4.1.3.2
Niveau de gravité : Faible
20. Mise en scène du contenu
Plugin : mise en scène du contenu
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
21. Mur de paiement qui fuit
Plugin : Leaky Paywall
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu
Niveau de gravité : Faible
22. Tuteur LMS
Plugin : Tutor LMS
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.9.11
Niveau de gravité : Moyen
23. Vitrine de logo avec curseur lisse
Plugin : Vitrine de logo avec Slick Slider
Vulnérabilité : Author+ Stored Cross Site Scripting
Patché dans la version : 1.2.4
Niveau de gravité : Moyen
24. Formidable constructeur de formulaires
Plugin : Formidable Form Builder
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : 4.09.05
Niveau de gravité : Faible
25. Télécharger le plug-in
Plugin : Télécharger le plugin
Vulnérabilité : Subscriber+ Arbitrary Plugin Activation
Patché dans la version : 1.6.1
Niveau de gravité : Moyen
26. Images vers WebP
Plug-in : Images vers WebP
Vulnérabilité : Multiple Cross Site Request Forgery (CSRF)
Patché dans la version : 1.9
Niveau de gravité : Moyen
Plug-in : Images vers WebP
Vulnérabilité : Authenticated Local File Inclusion
Patché dans la version : 1.9
Niveau de gravité : Faible
27. API MStore
Plug-in : API MStore
Vulnérabilité : Téléchargement de fichier PHP non authentifié
Patché dans la version : 3.4.5
Niveau de gravité : Critique
28. Téléchargements numériques faciles
Plugin : téléchargements numériques faciles
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.11.2.1
Niveau de gravité : Élevé
29. Gestionnaire d'accès avancé
Plugin : Gestionnaire d'accès avancé
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 6.8.0
Niveau de gravité : Faible
30. Sondage YOP
Plugin : Sondage YOP
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 6.1.2
Niveau de gravité : Moyen
31. Exportation de pièces jointes WP
Plugin : Exportation de pièces jointes WP
Vulnérabilité : Téléchargement de messages non authentifiés
Patché dans la version : 0.2.4
Niveau de gravité : Élevé
32. Curseur de texte de contenu sur la publication
Plugin : Curseur de texte de contenu sur la publication
Vulnérabilité : Authenticated Stored Cross-Site Scripting (XSS)
Patché dans la version : 6.9
Niveau de gravité : Moyen
33. Icegramme
Plugin : Icegram
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.0.3
Niveau de gravité : Faible
34. Meilleurs liens
Plugin : BetterLinks
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.2.6
Niveau de gravité : Faible
35. LearnDash
Plugin : LearnDash
Vulnérabilité : Téléchargement de fichier arbitraire non authentifié
Patché dans la version : 2.5.4
Niveau de gravité : Critique
36. ImageBoss
Plugin : ImageBoss
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 3.0.6
Niveau de gravité : Faible
37. Formateur
Plugin : Forminateur
Vulnérabilité : Admin + Stored Cross Site Scripting
Patché dans la version : 1.2.4
Niveau de gravité : Faible
38. Éditeur MPL
Plugin : MPL Publisher
Vulnérabilité : Admin+ Stored Cross Site Scripting
Patché dans la version : 1.30.4
Niveau de gravité : Faible
39. Élémentaire
Plugin : Elementor
Vulnérabilité : DOM Cross Site Scripting
Patché dans la version : 3.1.4
Niveau de gravité : Moyen
40. Partage social impertinent
Plugin : Partage social impertinent
Vulnérabilité : Contrôles d'accès manquants à l'injection d'objet PHP
Patché dans la version : 3.3.24
Niveau de gravité : Moyen
41. Registre des tartes
Plugin : registre de tarte
Vulnérabilité : Open Redirect
Patché dans la version : 3.7.2.4
Niveau de gravité : Moyen
42. Formulaires avancés
Plugin : Formulaires avancés
Vulnérabilité : Subscriber+ Arbitrary User Email Address Update via IDOR
Patché dans la version : 1.6.9
Niveau de gravité : Élevé
Plugin : Formulaires avancés Pro
Vulnérabilité : Subscriber+ Arbitrary User Email Address Update via IDOR
Patché dans la version : 1.6.9
Niveau de gravité : Élevé
43. Capturez l'importation de la démo des thèmes
Plugin : Importation de la démo de Catch Themes
Vulnérabilité : Admin+ Arbitrary File Upload
Patché dans la version : 1.8
Niveau de gravité : Critique
44. Tableau d'emploi simple
Plugin : Tableau d'emploi simple
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.9.5
Niveau de gravité : Faible
45. Recherche d'ivoire
Plugin : Recherche d'ivoire
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 4.7
Niveau de gravité : Élevé
46. Porte des âges
Plugin : Age Gate
Vulnérabilité : Authenticated Stored Cross-Site Scripting
Patché dans la version : 2.16.4
Niveau de gravité : Critique
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Rechercher les vulnérabilités connues du site Web
Le plugin iThemes Security Pro recherche la raison n°1 pour laquelle les sites WordPress sont piratés : des plugins obsolètes et des thèmes avec des vulnérabilités connues.
2. Mise à jour automatique vers les versions sécurisées
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Surveiller les modifications de fichiers
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de site Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.