Rapport de vulnérabilité WordPress : avril 2021, partie 4

Publié: 2021-04-28

Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Ce rapport couvre les vulnérabilités récentes des plugins, thèmes et principaux WordPress et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Le résumé des vulnérabilités WordPress est divisé en trois catégories différentes : le noyau WordPress, les plugins WordPress et les thèmes WordPress. Chaque vulnérabilité aura un indice de gravité faible , moyen , élevé ou critique . Les cotes de gravité sont basées sur le Common Vulnerability Scoring System.

Dans le rapport d'avril, partie 4
    Recevez le rapport de vulnérabilité WordPress iThemes Security dans votre boîte de réception
    Inscrivez-vous au rapport

    Vulnérabilités principales de WordPress

    WordPress 5.7.1 est sorti le 15 avril 2021. Cette version de sécurité et de maintenance comporte 26 correctifs de bogues en plus de deux correctifs de sécurité. Parce qu'il s'agit d'une version de sécurité du noyau WordPress, il est recommandé de mettre à jour vos sites immédiatement !

    Vulnérabilités du plugin WordPress

    1. Accordéon

    Vulnérabilité : Authenticated Reflected Cross-Site Scripting
    Patché dans la version : 2.2.30
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.2.30+.

    2. RSS pour Yandex Turbo

    Vulnérabilité : Script intersites stocké authentifié
    Patché en Version : 1.30
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.30+.

    3. Modules complémentaires Kaswara Modern VC

    Vulnérabilité : Téléchargement de fichier arbitraire non authentifié
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    4. Protection contre la copie de contenu WP et pas de clic droit

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : 3.4
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : 3.5.1
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.5.1+.

    5. Mailer marketing conditionnel pour WooCommerce

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché en Version : 1.6
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : 1.5.2
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.6+.

    6. Captchinoo, Google recaptcha pour la page de connexion administrateur

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    7. Mode de maintenance WP et site en construction

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    8. Plan du site de l'arborescence

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    9. Protection de connexion - Limiter les tentatives de connexion infructueuses

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    10. Statistiques en temps réel du trafic des visiteurs

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : 2.13
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : 2.12
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.13+.

    11. Connectez-vous en tant qu'utilisateur ou client

    Vulnérabilité : Arbitrary Plugin Installation/Activation via CSRF
    Patché dans la version : 2.1
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnérabilité : Installation/activation de plugin arbitraire via un utilisateur à faible privilège
    Patché dans la version : 1.8
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1+.

    12. Rediriger 404 vers le parent

    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.3.1
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.1+.

    13. Sélectionnez toutes les catégories et taxonomies

    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.3.2
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.2+.

    14. Gestionnaire de licences logicielles

    Vulnérabilité : CSRF to Stored XSS
    Patché dans la version : 4.4.6
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.4.6+.

    15. Vendeur de voitures - Script de petites annonces automobiles

    Vulnérabilité : Injection SQL non authentifiée
    Patché dans la version : aucun correctif connu
    Gravité : Critique – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    16. Localisateur de magasin Plus

    Vulnérabilité : Script cross-site stocké non authentifié
    Patché dans la version : aucun correctif connu
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    17. Happy Addons pour Elementor Free & Pro

    Vulnérabilité : Stored Cross-Site Scripting
    Gratuit patché dans la version : 2.24.0
    Pro patché dans la version : 1.17.0
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.24.0+ (gratuit) / 1.17.0+ (Pro).

    18. Cache le plus rapide de WP

    Logo de cache le plus rapide WP

    Vulnérabilité : Suppression de fichier arbitraire authentifié via Path Traversal
    Patché dans la version : 0.9.1.7
    Gravité : Faible – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 0.9.1.7+.

    19. WPGraphQL

    Vulnérabilité : Déni de Service
    Patché dans la version : aucun correctif connu
    Gravité : Élevée – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    20. WooCommerce

    Vulnérabilité : Script intersites stocké authentifié
    Patché dans la version : 5.2.0
    Gravité : Moyenne – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 5.2.0+.

    Vulnérabilités du thème WordPress

    Aucune nouvelle vulnérabilité de thème n'a été divulguée cette semaine.

    Un plugin de sécurité WordPress peut aider à sécuriser votre site Web

    iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

    Obtenez iThemes Security Pro