Rapport de vulnérabilité WordPress : avril 2021, partie 3

Publié: 2021-04-22

Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Cet article couvre les vulnérabilités récentes des plugins, thèmes et principaux WordPress et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Le résumé des vulnérabilités WordPress est divisé en trois catégories différentes : le noyau WordPress, les plugins WordPress et les thèmes WordPress. Chaque vulnérabilité aura un indice de gravité faible , moyen , élevé ou critique . Les cotes de gravité sont basées sur le Common Vulnerability Scoring System.

Dans le rapport d'avril, partie 3

    Vulnérabilités principales de WordPress

    WordPress 5.7.1 est sorti le 15 avril 2021. Cette version de sécurité et de maintenance comporte 26 correctifs de bogues en plus de deux correctifs de sécurité. Parce qu'il s'agit d'une version de sécurité du noyau WordPress, il est recommandé de mettre à jour vos sites immédiatement !

    1. WordPress 5.6 – 5.7

    Vulnérabilité : Authenticated XXE dans la médiathèque affectant PHP 8
    Patché dans la version : 5.7
    Gravité : Élevée – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    La vulnérabilité est corrigée, vous devez donc mettre à jour le noyau WordPress vers 5.7.1+.

    2. WordPress 4.7-5.7

    Vulnérabilité : Exposition de pages protégées par mot de passe authentifié
    Patché dans la version : 5.7
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour le noyau WordPress vers 5.7.1+.

    Vulnérabilités du plugin WordPress

    1. Modules complémentaires Livemesh pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 6.8
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.8+.

    2. HT Mega - Addons absolus pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 1.5.7
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.5.7+.

    3. WooLentor - Extensions WooCommerce Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 1.8.6
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.8.6+.

    4. BuddyPress

    Vulnérabilité : plusieurs vulnérabilités de l'API REST authentifiée
    Patché dans la version : 7.3.0
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 7.3.0+.

    5. Modules complémentaires PowerPack pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 2.3.2
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.2+.

    6. Effets de survol d'image - Module complémentaire Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 1.3.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.4+.

    7. Extensions et modèles Rife Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 1.1.6
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.1.6+.

    8. Les modules complémentaires pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 2.0.6
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.6+.

    9. Addons tout-en-un pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 2.3.10
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.3.10.

    10. JetWidgets pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version :
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.8+.

    11. Extension Sina pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 3.3.12
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.3.12+.

    12. Addons ultimes pour Elementor

    Ultimate Addon Elementor Logo

    Vulnérabilité : Stored Cross-Site Scripting (XSS)
    Patché dans la version : 1.30.0
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.30.0+.

    13. Calculatrices de fitness

    Vulnérabilité : Cross-Site Request Forgery to Cross-Site Scripting
    Patché dans la version : 1.9.6
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.9.6+.

    14. Gestionnaire d'accès aux droits des utilisateurs

    Vulnérabilité : Contrôles d'accès inappropriés
    Patché dans la version : 1.0.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.4+.

    15. Addons intelligents pour Elementor

    Vulnérabilité : Stored Cross-Site Scripting XSS
    Patché dans la version : 2.1.0
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1.0+.

    16. Téléchargements numériques faciles

    Logo de téléchargements numériques faciles

    Vulnérabilité : Stripe Disconnect non autorisé via CSRF
    Patché dans la version : 2.10.3
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.10.3+.

    17. Pont Edwiser

    Vulnérabilité : CSRF Nonce Bypass
    Patché dans la version : 2.0.7
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.7+.

    18. Gestionnaire de téléchargement WordPress

    Logo du gestionnaire de téléchargement WordPress

    Vulnérabilité : Duplication de téléchargement non autorisée
    Patché dans la version : 3.1.18
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.1.18+.

    19. Cartes ultimes par Supsystic

    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.2.5
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.2.5+.

    20. Popup par Supsystic

    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.10.5
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.10.5+.

    21. Galerie de photos par 10Web

    Galerie de photos par 10Web Logo

    Vulnérabilité : Multiple Reflected Cross-Site Scripting
    Patché dans la version : 1.5.69
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.5.69+.

    22. Redirection pour le formulaire de contact 7

    Vulnérabilité : Génération arbitraire de nonce non authentifiée
    Patché dans la version : 2.3.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Vulnérabilité : Installation du plugin arbitraire authentifié
    Patché dans la version : 2.3.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Vulnérabilité : Injection d'objet PHP authentifié
    Patché dans la version : 2.3.4
    Gravité : Élevée – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Vulnérabilité : Post-Suppression Arbitraire Authentifiée
    Patché dans la version : 2.3.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

    Vulnérabilité : Actions AJAX non protégées
    Patché dans la version : 2.3.4
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    Les vulnérabilités sont corrigées, vous devez donc mettre à jour vers la version 2.3.4+.

    Vulnérabilités du thème WordPress

    Aucune nouvelle vulnérabilité de thème n'a été divulguée cette semaine.

    Un plugin de sécurité WordPress peut aider à sécuriser votre site Web

    iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

    Rapport de vulnérabilité WordPress