Résumé des vulnérabilités WordPress : juin 2020, partie 1

Publié: 2020-08-18

De nouvelles vulnérabilités de plugins et de thèmes WordPress ont été divulguées au cours de la première quinzaine de juin, nous souhaitons donc vous tenir au courant. Dans cet article, nous couvrons les récentes vulnérabilités des plugins WordPress, des thèmes et des cœurs et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Le résumé des vulnérabilités WordPress est divisé en trois catégories différentes :

Noyau WordPress
Plugins WordPress
Thèmes WordPress

Chaque vulnérabilité aura une cote de menace faible , moyenne , élevée ou critique .

Vulnérabilités principales de WordPress

1. Mise à jour vers WordPress 5.4.2 – Critique

La version 5.4.2 de WordPress est désormais disponible. Il s'agit d'une importante version de sécurité et de maintenance. Les versions antérieures sont affectées par plusieurs bogues de sécurité, qui sont corrigés dans la version 5.4.2. Si vous n'avez pas encore effectué la mise à jour vers la version 5.4, il existe également des versions mises à jour de la version 5.3 et antérieures qui résolvent les problèmes de sécurité.

Vous pouvez télécharger WordPress 5.4.2 à partir de WordPress.org, ou visiter votre tableau de bord WP Admin > Mises à jour et cliquer sur Mettre à jour maintenant . Si vous avez des sites qui prennent en charge les mises à jour automatiques en arrière-plan, ils devraient déjà avoir été mis à jour.

Les vulnérabilités ont été corrigées et vous devez mettre à jour vers WordPress 5.4.2

Vulnérabilités du plugin WordPress

Plusieurs nouvelles vulnérabilités de plugin WordPress ont été découvertes ce mois-ci jusqu'à présent. Assurez-vous de suivre l'action suggérée ci-dessous pour mettre à jour le plugin ou le désinstaller complètement.

1. Glissez-déposez le téléchargement de plusieurs fichiers pour le formulaire de contact 7 - Critique

Les versions par glisser-déposer de plusieurs téléchargements de fichiers pour le formulaire de contact 7 inférieures à 1.3.3.3 présentent une vulnérabilité de contournement de téléchargement de fichiers non authentifiés.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 1.3.3.3.

2. Page Builder: PageLayer - Générateur de site Web par glisser-déposer - Élevé

Page Builder : PageLayer - Les versions de constructeur de site Web par glisser-déposer ci-dessous 1.1.2 ont un AJAX non protégé menant à XSS et un CSRF menant à des vulnérabilités XSS.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 1.1.2.

3. MapPress Maps – Critique

Les versions de MapPress Maps inférieures à 2.54.6 présentent une vulnérabilité de vérifications de capacité incorrectes dans les appels AJAX.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 2.54.6.

4. Galerie de photos d'images Grille de tuiles finales - Critique

Image Galerie de photos Les versions finales de la grille de tuiles inférieures à 3.4.19 ont une vulnérabilité de script inter-sites stocké authentifié.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 3.4.19.

5. bbPress – Critique

Les versions de bbPress inférieures à 2.6.5 présentent une vulnérabilité d'escalade de privilèges non authentifiés lorsque l'enregistrement d'un nouvel utilisateur est activé.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 2.6.5.

6. Planificateur multiple – Élevé

Toutes les versions de Multi Scheduler ont une suppression d'enregistrement arbitraire via la vulnérabilité CSRF.

Supprimez le plugin jusqu'à ce qu'un correctif de sécurité soit publié.

7. Recherche d'emploi – Élevé

Les versions de JobSearch inférieures à 1.5.1 présentent une vulnérabilité de script intersites réfléchi non authentifié.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 1.5.1.

8. AdRotate - Moyen

Les versions d'AdRotate inférieures à 5.8.4 présentent une vulnérabilité d'injection SQL authentifiée.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 5.8.4.

9. Elementor Page Builder – Élevé

Les versions d'Elementor Page Builder inférieures à 2.9.10 ont une vulnérabilité XSS Authenticated Stored.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 2.9.10.

10. SportsPress – Élevé

Les versions de SportsPress inférieures à 2.7.2 présentent une vulnérabilité de script intersites stocké authentifié.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 2.7.2.

Thèmes WordPress

1. Careerfy – Élevé

Les versions Careerfy inférieures à 3.9.0 présentent une vulnérabilité de script intersites réfléchi non authentifié.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 3.9.0.

2. Journal – Élevé

Les versions de journaux inférieures à 10.3.4 présentent une vulnérabilité Authenticated Reflected Cross-Site Scripting.

La vulnérabilité est corrigée et vous devez mettre à jour vers la version 10.3.4.

Nouveau! Protégez votre site Web WordPress avec l'analyse de site de sécurité iThemes.

Saviez-vous que 60 % des violations de sites Web impliquent des vulnérabilités pour lesquelles un correctif était disponible mais non appliqué ? Cela signifie qu'avoir un logiciel avec des vulnérabilités connues installé sur votre site donne aux pirates les plans dont ils ont besoin pour prendre le contrôle de votre site.

Chaque jour, il devient de plus en plus difficile de garder une trace de chaque vulnérabilité WordPress divulguée . Vous devez comparer cette liste aux versions des plugins et des thèmes que vous avez installés sur votre site… et vous assurer que vous êtes constamment mis à jour.

Pour résoudre ce problème, nous sommes ravis d'annoncer aujourd'hui que le plugin iThemes Security Pro déploie un meilleur moyen de protéger vos sites contre les vulnérabilités logicielles , le principal coupable des sites WordPress piratés et compromis.

La nouvelle analyse améliorée du site de sécurité WordPress optimisée par iThemes effectue des vérifications automatiques des vulnérabilités connues du site Web et, si un correctif est disponible, iThemes Security Pro appliquera désormais automatiquement le correctif pour vous… afin que vous n'ayez pas à le faire. Ouf. c'est une certaine tranquillité d'esprit.

Détails de la vulnérabilité de l'analyse du site

Un plugin de sécurité WordPress peut aider à sécuriser votre site Web

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 30 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

En savoir plus sur la sécurité WordPress avec 10 conseils clés. Téléchargez l'ebook maintenant : Un guide de la sécurité WordPress

Télécharger maintenant

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.