WordPress Vulnerability News, novembre 2021

Publié: 2020-11-06

Actualités sur les vulnérabilités WordPress de novembre
La vulnérabilité de WordPress signifie la faiblesse de WordPress. Dans cet article sur les vulnérabilités WordPress de novembre, nous nous concentrerons sur les plugins vulnérables de WordPress et les problèmes de sécurité de WordPress découverts en octobre 2020 et novembre 2020.

La partie la plus importante et la plus cruciale de la sécurité est de rester à jour avec les vulnérabilités de sécurité dans les CMS comme WordPress et entre autres.

C'est la raison pour laquelle nous avons analysé les plugins sensibles et le dernier point faible révélé pour garantir le bon fonctionnement de votre site Web en n'utilisant pas de tels plugins et mises à jour non protégés pour WordPress.

Votre site Web sera à l'abri de tous les problèmes de sécurité et vulnérabilités si vous utilisez le pare-feu d'application Web WebARX. Mais la meilleure méthode alternative pour sécuriser votre site Web consiste à supprimer ou à mettre à jour les plugins non protégés sur vos sites Web.

WordPress Vulnerability News, octobre 2020

WordPress + Microsoft Office 365

WordPress + Microsoft Office 365

Pour accéder à votre site Web WordPress, les utilisateurs peuvent se connecter avec leur compte scolaire ou d'entreprise avec WPO365|LOGIN. Mot de passe et aucun nom d'utilisateur requis. De plus, vous pourrez envoyer des e-mails à l'aide de Microsoft Graph plutôt que d'utiliser SMTP à partir de votre site Web.

Vulnérabilité : contournement de la vérification de signature JWT
Résolu dans la version : 11.7
Nombre total de sites Web touchés : 1 000+

Ce plugin ne vérifie pas les signatures JWT, autorise les vérifications d'autorisation, contourne les authentifications et permet aux attaquants de former des jetons.

Curseur par 10Web

Curseur par 10Web

Slider by 10Web est une méthode alternative permettant d'ajouter des curseurs réactifs, à chargement rapide et optimisés pour le référencement sur l'en-tête de votre thème, les publications et les pages de votre site Web ou tout autre emplacement.

Ce plugin est compatible avec les vidéos et les images et permet aux deux contenus d'être ajoutés sur des diapositives. Vous pouvez y ajouter très facilement différents effets de transition.

Vulnérabilité : Injection SQL multiple authentifiée
Résolu dans la version : 1.2.36
Nombre total de sites Web touchés : 50 000+

Les deux fonctionnalités vulnérables de ce plugin sont save_slider_db et bulk_action, export_full. Ces deux fonctionnalités permettent aux utilisateurs autorisés ou administrateur ou médium comme contributeur + 'option de rôle' de supposer que l'autre utilisateur est activé pour exécuter une attaque connue sous le nom d'injections SQL.

La date de déclaration de PoC était le 13 octobre 2020, ce qui fournit des mises à jour aux utilisateurs au fil du temps.

Cours WP

Cours WP LMS

WP Courses est un plugin WordPress gratuit qui peut être utilisé par LMS pour gérer et créer des cours sur votre site Web avec des outils de glisser-déposer, une interface intuitive, des didacticiels vidéo, etc. Ce plugin a plus de 900 installations actives.

Ce plugin peut être ajouté avec n'importe quel autre modèle car il fonctionnera de manière transparente. Il est également livré avec de nombreuses options qui vous aideront à faire correspondre votre vision et la conception de votre site Web. Ce plugin est facile à naviguer car il ne nécessite aucun codage ni aucune connaissance technique.

Vulnérabilité : conduit à la divulgation du contenu des cours en raison de contrôles d'accès cassés
Résolu dans la version : 2.0.29
Nombre total de sites Web touchés : 20 000+

Par l'API WordPress REST, le problème des cours WP pourrait rendre vos cours accessibles à tous.

Simplicité :Appuyez sur

Appuyez simplement

Pour votre site WordPress, le Simple : Press est un logiciel de forum. Avec quelques fonctionnalités supplémentaires, vous pouvez démarrer votre forum facilement. Il est intégré au modèle de sécurité et au modèle utilisateur de WordPress et peut être augmenté jusqu'à des milliers d'utilisateurs.

Malgré d'autres plugins de forum, les fonctionnalités de ce plugin sont créées et prises en charge par les organisations. L'option est disponible pour la suppression ou la désinstallation, intégrée à la connexion et aux inscriptions WordPress, intégrée aux plugins d'abonnement des membres, et plus encore.

Vulnérabilité : conduisant à RCE en raison d'un contrôle d'accès interrompu
Résolu dans la version : 6.6.1
Nombre total de sites Web concernés : 600+

Le problème de contrôle d'accès cassé dans le plugin Simple: Press a été corrigé, ce qui affectait la version 6.6.0 et inférieure.

Plug-in XClonerName

Plug-in XClonerName

Ce plugin vous aidera à restaurer et à sauvegarder votre site Web WordPress.

Vulnérabilité : falsification de requêtes intersites
Résolu dans la version : 4.2.13
Nombre total de sites Web concernés : 30 000+

Les sauvegardes de sites Web peuvent être envoyées à Google Drive, SFTP, Amazon, Dropbox, Backblaze et à d'autres emplacements. Automatiquement ou manuellement, vous pouvez créer des sauvegardes avec un planificateur intégré à XCloner.

Différentes fonctionnalités de sécurité sont fournies par XCloner, telles que XCloner créera des thèmes, un noyau, des plugins, une sauvegarde des fichiers de langues juste avant les mises à jour automatiques, les thèmes, les plugins ou les fichiers de langue du noyau WordPress. Les personnes qui recherchent un site Web sécurisé et la confidentialité devraient choisir XCloner.

Glisser-déposer le téléchargement de plusieurs fichiers – formulaire de contact 7

Glisser et déposer le téléchargement de plusieurs fichiers

Ce plugin est facile à utiliser et une extension simple spécialement pour le formulaire de contact 7. Ce plugin permettra aux utilisateurs d'ajouter différents fichiers à l'aide de fonctionnalités de glisser-déposer. On peut aussi ajouter un fichier de parcours commun du formulaire web.

Les fonctionnalités de ce plugin sont limitées au nombre de fichiers téléchargés, restreignent la taille du fichier pour chaque champ, réactif mobile, compatible avec n'importe quel navigateur, prend en charge plusieurs langues, barre de progression sympa, fonction glisser-déposer, validation de la taille du fichier, validation du type de fichier, etc.

Vulnérabilité : exécution de code à distance non vérifiée
Résolu dans la version : 1.3.5.5
Nombre total de sites Web concernés : 20 000+

Cet outil utilise la liste noire des extensions de fichiers dangereux qui ne vous permet pas de télécharger. Cependant, les extensions .phpt et .phar ne figuraient pas sur la liste noire et ne peuvent pas être utilisées pour ajouter du code PHP arbitraire.

Plus de 25 plugins WordPress ont été découverts avec des vulnérabilités aux attaques CSRF, dont certains sont

  • Adhésion payante Pro
  • Créateur de coupons
  • Constructeurs d'entonnoirs
  • Boutons radio pour les taxonomies
  • Chronologie sympa
  • Témoignages faciles
  • Dokan
  • Agrégateur RSS par Feedly
  • Réservation d'hôtel WP
  • Chef de projet WP et bien d'autres.

Related Post:Meilleurs thèmes WordPress sans erreur pour les projets à choisir pour votre prochain site Web

WordPress Vulnerability News, novembre 2020

Assistance à la conformité RGPD CCPA

Assistance à la conformité RGPD CCPA

Il est également connu sous le nom de plugin de conformité Ninja GDPR pour les utilisateurs de WordPress.

Vulnérabilité : injection non officielle sur un objet PHP
Résolu dans la version : 2.4
Nombre total de sites Web touchés : 1 000+

Le plug-in de prise en charge de la conformité GDPR CCPA compte plus de 1000 installations actives. Il a résolu une vulnérabilité de désérialisation non sécurisée affectant la version 2.1 et les versions antérieures pouvant entraîner une injection d'objet PHP non officielle. Le 17 novembre 2020. Le PoC sera affiché pour mettre à jour les utilisateurs avec toutes les informations.

Welcart e-Commerce

Welcart e-Commerce

WelCart est gratuit. Il compte plus de 20 000 installations actives et est disponible en 3 langues différentes, à savoir l'anglais (US), le japonais et le vietnamien. Le 9 octobre 2020, la vulnérabilité a été découverte dans ce plugin.

Vulnérabilité : Injection non officielle sur un objet PHP
Résolu dans la version : 1.9.36
Nombre total de sites Web touchés : 20 000+

Les utilisateurs de WordPress peuvent utiliser le plugin Welcart pour créer un site Web d'achat avec un espace de compte client différent. Il n'utilise pas le même cookie que celui utilisé par WordPress. Il utilise le sien.

Cela vous aide à suivre les sessions utilisateur. En utilisant ce plugin, vous pourrez vendre tout type de produits, y compris des produits par abonnement, des produits numériques ainsi que des produits physiques. Il n'y a pas de limite au nombre de photos d'articles, de produits et de catégories.

Icônes sociales AccessPress

Plugin de partage social AccessPress

Vous pourrez créer différentes icônes sociales et ajouter un lien vers vos comptes de médias sociaux valides directement depuis le site Web. Il compte plus de 40 000 installations actives et prend en charge WordPress version 4.5 et supérieure.

Vulnérabilité : injection SQL authentifiée
Résolu dans la version : 1.8.1
Nombre total de sites Web touchés : 40 000+

Son attribut widget n'a pas été désinfecté par ce plugin, il permet aux comptes avec l'autorisation de publication, par exemple l'auteur, d'exécuter des injections SQL.

Très facilement, une personne non technique peut également créer des liens vers des profils sociaux sur le site Web. Vous pouvez créer et personnaliser magnifiquement les icônes par vous-même. 12 ensembles conçus différents sont fournis qui peuvent être utilisés pour sélectionner des icônes.

Les principales caractéristiques de ce plugin sont une intégration facile, des conseils d'outils, plus de styles, un aperçu en direct en temps réel, des mises en page réactives, interactives, propres, etc.

Wordpress

La version 5.5.2 de WordPress est sortie le 29 octobre 2020. Cette version a été introduite pour résoudre les problèmes affectés par la version 5.5 de WordPress, y compris la vulnérabilité XSS reflétée. De plus, il a corrigé certains problèmes de régressions découverts dans la version 5.5

Vulnérabilité : XSS réfléchi
Résolu dans la version : 5.5.2
Nombre total de sites Web touchés : N/A

Sur chaque compte d'utilisateur WordPress et le site Web de l'utilisateur, ce problème est susceptible. L'agresseur peut inciter un utilisateur inconscient à cliquer sur un lien infecté ou à visiter le site Web qui est piégé. Le niveau de victimisation pour ce problème est moyen car il nécessite une sorte d'ingénierie sociale.

SW Ajax WooCommerce Recherche

Recherche Ajax pour WooCommerce

SW Ajax WooCommerce Search est un plugin WordPress pour WooCommerce doté d'une fonction de recherche Ajax.

Vulnérabilité : XFS et XSS reflétés non officiels
Résolu dans la version : 1.2.8
Nombre total de sites Web touchés : N/A

Conclusion:
Nouvelles de novembre sur les vulnérabilités de WordPress – Nombre de sites Web WordPress sont infectés et piratés chaque jour. Certains chiffres montrent que plus de 30 000 sites Web sont touchés quotidiennement par plusieurs types de logiciels malveillants.

Chaque site Web ouvert sur Internet est une ressource disponible pour tout le monde et c'est la principale raison pour laquelle la plupart des sites Web sont ciblés.

Il est crucial de savoir que dès que vous vivez votre entreprise en ligne, elle devient accessible au public. Ainsi, il devient facilement ciblé.

Pour éviter d'ajouter des plugins vulnérables sur votre site Web, il est important de maintenir vos plugins et sites Web à jour. Vous pouvez activer les mises à jour automatiques si cela est possible.

Si vous utilisez les plugins mentionnés ci-dessus, il est grand temps de le mettre à jour avec une nouvelle version, sinon votre site Web sera gravement affecté.