Le Blog du numérique

Rapport de vulnérabilité WordPress – 27 juillet 2022

Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité faible, moyen, élevé ou critique. La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde !

Recevez le rapport hebdomadaire sur les vulnérabilités de WordPress dans votre boîte de réception chaque mercredi.

Vulnérabilités du cœur de WordPress

WordPress 6.0.1 est sorti le 12 juillet 2022, en tant que version de maintenance à cycle court avec 31 corrections de bogues. Comme il s'agit d'une mise à jour principale, assurez-vous de mettre à jour WordPress 6.0.1 dès que possible.

  • Aucune nouvelle vulnérabilité de base de WordPress n'a été divulguée cette semaine.

Vulnérabilités des plugins WordPress

Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.

WP-DBManager

Image du produit pour WP-DBManager.

Brancher
WP-DBManager
Installations
90 000+
Vulnérabilité
Admin+ Exécution de commandes à distance
Patché dans la version
2.80.8
Niveau de gravité
Moyen
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 2.80.8.

RechercheWP Live Ajax Search

Image du produit pour SearchWP Live Ajax Search.

Installations
60 000+
Vulnérabilité
Divulgation arbitraire non authentifiée du titre de poste
Patché dans la version
1.6.2
Niveau de gravité
Moyen
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 1.6.2.

Bannière simple

Image du produit pour bannière simple.

Brancher
Bannière simple
Installations
50 000+
Vulnérabilité
Script intersite stocké Admin+
Patché dans la version
2.12.0
Niveau de gravité
Bas
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 2.12.0.

WP-UserOnline

Image du produit pour WP-UserOnline.

Brancher
WP-UserOnline
Installations
20 000+
Vulnérabilité
Script intersite stocké Admin+
Patché dans la version
2.88.0
Niveau de gravité
Bas
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 2.88.0.

Flipbox

Image du produit pour Flipbox - Superposition d'image Awesomes Flip Boxes.

Installations
10 000+
Vulnérabilité
Mise à jour des options arbitraires authentifiées
Patché dans la version
2.6.1
Niveau de gravité
Haute
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 2.6.1.

Publications numériques par Supsystic

Image du produit pour les publications numériques de Supsystic.

Installations
2 000+
Vulnérabilité
Script intersite stocké Admin+
Patché dans la version
1.7.4
Niveau de gravité
Bas
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 1.7.4.

Vulnérabilités du plugin WordPress – Pas de correctif connu

Cette section contient des vulnérabilités de plug-in sans correctif connu. Jusqu'à ce qu'un correctif soit disponible, désinstallez et supprimez immédiatement le plugin.

Témoignages

Brancher
Témoignages
Vulnérabilité
Contributor+ Script intersite stocké
Patché dans la version
Pas de solution
Niveau de gravité
Moyen
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

E Déverrouillé – Résultat de l'étudiant

Vulnérabilité
Téléchargement arbitraire de fichiers via CSRF
Patché dans la version
Pas de solution
Niveau de gravité
Haute
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Résultats faciles pour les étudiants

Vulnérabilité
Divulgation d'informations sensibles via l'API REST ; Script intersite réfléchi
Patché dans la version
Pas de solution
Niveau de gravité
Bas
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Responsable Stockistes pour Woocommerce

Vulnérabilité
Script intersite stocké via CSRF
Patché dans la version
Pas de solution
Niveau de gravité
Moyen
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Calendrier VR

Brancher
Calendrier VR
Vulnérabilité
Appel de fonction arbitraire non authentifié
Patché dans la version
Pas de solution
Niveau de gravité
Haute
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Organisateur de produits de page d'accueil pour WooCommerce

Vulnérabilité
Abonné+ SQLi
Patché dans la version
Pas de solution
Niveau de gravité
Haute
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Dupliquer la page et le plug-in de publication

Vulnérabilité
Script intersite stocké Admin+
Patché dans la version
Pas de solution
Niveau de gravité
Bas
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Transposh Traduction WordPress

Vulnérabilité
Changement de paramètres non authentifié ; Divulgation des noms d'utilisateur
Patché dans la version
Pas de solution
Niveau de gravité
Moyen
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Formulaire de contact Elementor DB

Vulnérabilité
Script intersite réfléchi
Patché dans la version
Pas de solution
Niveau de gravité
Moyen
La vulnérabilité n'a pas été corrigée et le plugin est fermé. Vous devez désinstaller et supprimer le plugin.

Vulnérabilités du thème WordPress

Dans cette section, les dernières vulnérabilités du thème WordPress ont été divulguées. Chaque liste de thèmes comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.

GREYD.SUITE

Thème
GREYD.SUITE
Vulnérabilité
Téléchargement de fichier non authentifié vers RCE
Patché dans la version
1.2.7
Niveau de gravité
Critique
La vulnérabilité a été corrigée, vous devez donc mettre à jour vers la version 1.2.7.

Aperçu : les identifiants biométriques et les clés d'accès arrivent

Voir une démo en direct le 10 août 2022 à 13h00 (CT)

Le moyen le plus simple et le plus sécurisé de vous connecter à votre site WordPress arrive ! Dans la prochaine version majeure, iThemes Security ajoutera des identifiants biométriques (comme Face ID, Touch ID et Windows Hello) et une technologie de clé d'accès prise en charge par tous les principaux navigateurs, y compris Chrome, Firefox et Safari. Désormais, les administrateurs de sites Web et les utilisateurs finaux peuvent disposer de connexions sécurisées sans les inconvénients d'applications supplémentaires à deux facteurs, de gestionnaires de mots de passe ou d'exigences complexes en matière de mots de passe.

Propulsées par le protocole WebAuthn, ces méthodes de connexion offrent une expérience de connexion sans mot de passe innovante qui est l'avenir pour sécuriser les informations sensibles en ligne, y compris la connexion à n'importe quel site WordPress. En tant qu'avenir des connexions pour tous les sites et applications, iThemes Security est le premier à l'apporter à WordPress comme méthode de connexion principale.

Vous ne pouvez pas passer l'appel en direct ? Allez-y et inscrivez-vous et nous vous enverrons la rediffusion vidéo par e-mail.
Voir l'heure dans votre fuseau horaire.

Ne vous souciez plus de l'exécution d'un plugin ou d'un thème vulnérable.

Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.

Jouer

Analyse votre site Web deux fois par jour à la recherche de vulnérabilités

Les plugins, les thèmes et les versions principales de WordPress de votre site Web sont vérifiés par rapport à la base de données de vulnérabilité WPScan pour les dernières divulgations de vulnérabilité.

Mises à jour automatiques si un correctif de sécurité est disponible

Associé à la gestion des versions, iThemes Security mettra automatiquement à jour un plugin, un thème ou une version principale de WordPress s'il présente une vulnérabilité.

Vous envoie un e-mail si l'analyse du site détecte une vulnérabilité

Vous pouvez recevoir un rapport par e-mail si votre site exécute des versions vulnérables d'un plugin, d'un thème ou du noyau WordPress. Personnalisez les adresses e-mail qui reçoivent les résultats de l'analyse.

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger les sites WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.


Le post WordPress Vulnerability Report – 27 juillet 2022 est apparu en premier sur iThemes .

Plus d'informations