Rapport de vulnérabilité WordPress : avril 2021, partie 4
Publié: 2021-04-28Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Ce rapport couvre les vulnérabilités récentes des plugins, thèmes et principaux WordPress et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Le résumé des vulnérabilités WordPress est divisé en trois catégories différentes : le noyau WordPress, les plugins WordPress et les thèmes WordPress. Chaque vulnérabilité aura un indice de gravité faible , moyen , élevé ou critique . Les cotes de gravité sont basées sur le Common Vulnerability Scoring System.
Vulnérabilités principales de WordPress
WordPress 5.7.1 est sorti le 15 avril 2021. Cette version de sécurité et de maintenance comporte 26 correctifs de bogues en plus de deux correctifs de sécurité. Parce qu'il s'agit d'une version de sécurité du noyau WordPress, il est recommandé de mettre à jour vos sites immédiatement !
Vulnérabilités du plugin WordPress
1. Accordéon

Vulnérabilité : Authenticated Reflected Cross-Site Scripting
Patché dans la version : 2.2.30
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. RSS pour Yandex Turbo

Vulnérabilité : Script intersites stocké authentifié
Patché en Version : 1.30
Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Modules complémentaires Kaswara Modern VC
Vulnérabilité : Téléchargement de fichier arbitraire non authentifié
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. Protection contre la copie de contenu WP et pas de clic droit

Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : 3.4
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : 3.5.1
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. Mailer marketing conditionnel pour WooCommerce

Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché en Version : 1.6
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : 1.5.2
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha pour la page de connexion administrateur
Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. Mode de maintenance WP et site en construction
Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. Plan du site de l'arborescence
Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. Protection de connexion - Limiter les tentatives de connexion infructueuses
Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. Statistiques en temps réel du trafic des visiteurs

Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : 2.13
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : 2.12
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. Connectez-vous en tant qu'utilisateur ou client

Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
Patché dans la version : 2.1
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
Patché dans la version : 1.8
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. Rediriger 404 vers le parent

Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.3.1
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. Sélectionnez toutes les catégories et taxonomies
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.3.2
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Gestionnaire de licences logicielles

Vulnérabilité : CSRF to Stored XSS
Patché dans la version : 4.4.6
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. Vendeur de voitures - Script de petites annonces automobiles
Vulnérabilité : Injection SQL non authentifiée
Patché dans la version : aucun correctif connu
Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. Localisateur de magasin Plus
Vulnérabilité : Script cross-site stocké non authentifié
Patché dans la version : aucun correctif connu
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Happy Addons pour Elementor Free & Pro

Vulnérabilité : Stored Cross-Site Scripting
Gratuit patché dans la version : 2.24.0
Pro patché dans la version : 1.17.0
Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. Cache le plus rapide de WP

Vulnérabilité : Suppression de fichier arbitraire authentifié via Path Traversal
Patché dans la version : 0.9.1.7
Gravité : Faible – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
Vulnérabilité : Déni de Service
Patché dans la version : aucun correctif connu
Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. WooCommerce

Vulnérabilité : Script intersites stocké authentifié
Patché dans la version : 5.2.0
Gravité : Moyenne – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Vulnérabilités du thème WordPress
Un plugin de sécurité WordPress peut aider à sécuriser votre site Web
iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.
Obtenez iThemes Security Pro
Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.
