Magazine Gadgets

Neuf plugins WordPress exposent plus de 1,3 million de sites aux exploits

Publié le 14 juillet 2022 par Mycamer

La base de données sur les vulnérabilités du gouvernement des États-Unis et les chercheurs en sécurité WordPress ont publié des alertes sur les vulnérabilités des plugins WordPress. Parmi ces plugins, neuf des plugins les plus populaires affectent plus de 1,3 million de sites Web.

Vulnérabilités dans neuf plugins WordPress

Bien qu’il y ait eu beaucoup plus de plugins jugés vulnérables, les neuf plugins les plus populaires ont affecté plus de 1,3 million de sites Web. Les vulnérabilités ont été notées

Les éléments suivants figurent sur la liste des neuf plugins vulnérables :

  1. Header Footer Code Manager Plus de 300 000 installations
  2. Ad Inserter – Ad Manager et AdSense Ads Plus de 200 000 installations
  3. Extension WordPress Popup Builder Plus de 200 000 installations
  4. Sécurité anti-malware et pare-feu Brute-Force Plus de 200 000 installations
  5. Protection contre la copie de contenu WP et pas de clic droit Plus de 100 000 installations
  6. Sauvegarde de base de données pour WordPress 100 000+ installations
  7. GiveWP – Plugin de don et plateforme de collecte de fonds Plus de 100 000 installations
  8. Gestionnaire de téléchargement Plus de 100 000 installations
  9. Plug-in WordPress Advanced Database Cleaner Plus de 80 000 installations

En-tête Pied de page Gestionnaire de code Plugin WordPress

Les chercheurs en sécurité de Wordfence ont découvert que le plug-in WordPress Header Footer Code Manager présentait une vulnérabilité de type Reflected Cross-Site Scripting.

La vulnérabilité oblige le pirate à inciter un administrateur à cliquer sur un lien ou à effectuer une autre action afin de le rendre vulnérable à une prise de contrôle complète du site.

Les chercheurs ont noté que parce que ce plugin affecte une zone sensible des sites WordPress en ce sens qu’il sert à ajouter du code aux sites Web, la variété des actions malveillantes pourrait s’étendre à l’ajout de portes dérobées et à l’attaque des visiteurs du site.

Wordfence recommande aux éditeurs de mettre à jour leurs installations au moins vers la version 1.1.17.

Ad Inserter – Ad Manager & AdSense Ads (Versions gratuites et Pro)

WPScan a signalé que Ad Inserter – Ad Manager & AdSense Ads présentait également une vulnérabilité pouvant conduire à un exploit de type Reflected Cross-Site Scripting.

Les éditeurs sont invités à mettre à jour au moins la version 2.7.10.

Ce plugin contient une vulnérabilité qui pourrait conduire à un exploit d’injection SQL.

Selon la base de données nationale sur les vulnérabilités :

“Le plugin WordPress Popup Builder avant 4.0.7 ne valide pas et n’échappe pas correctement les paramètres orderby et order avant de les utiliser dans une instruction SQL dans le tableau de bord d’administration, ce qui pourrait permettre aux utilisateurs à privilèges élevés d’effectuer une injection SQL”

Il est recommandé aux éditeurs de mettre à jour au moins la version 4.0.7 du plugin WordPress.

Sécurité anti-malware et pare-feu Brute-Force

Ce plugin WordPress contient également une vulnérabilité de script intersite réfléchie. Un attaquant doit avoir des informations d’identification de niveau administrateur pour mener à bien l’attaque.

Les éditeurs sont invités à mettre à jour au moins la version 4.20.94.

Protection contre la copie de contenu WP et pas de clic droit

Ce plugin WordPress a été découvert par la sécurité chercheurs de Patchstack qui ont signalé le plugin d’avoir une vulnérabilité Cross Site Request Forgery (CSRF).

Les éditeurs sont invités à mettre à jour au moins la version 3.4.5.

Sauvegarde de base de données pour WordPress

Les chercheurs en sécurité de WPScan ont signalé une vulnérabilité d’injection SQL affectant le plugin Database Backup for WordPress qui gère la partie la plus sensible de toute installation WordPress, la base de données.

Remarques de WPScan :

“Le plugin ne nettoie pas correctement et n’échappe pas au paramètre de fragment avant de l’utiliser dans une instruction SQL dans le tableau de bord d’administration, ce qui entraîne un problème d’injection SQL”

La base de données nationale sur les vulnérabilités conseille aux éditeurs de mettre à jour le plugin Database Backup for WordPress vers au moins la version 2.5.1.

GiveWP – Plugin de don et plateforme de collecte de fonds

Le plug-in de don GiveWP contient une vulnérabilité de type Reflected Cross-Site Scripting. Les éditeurs sont invités à mettre à jour au moins la version 2.17.3 du plugin.

Plugin WordPress du gestionnaire de téléchargement

Ce plugin contient un exploit d’injection SQL qui pourrait conduire à une attaque de type Reflected Cross-Site Scripting. Les éditeurs sont invités à mettre à jour au moins la version 3.2.34.

Plugin WordPress de nettoyeur de base de données avancé

Ce plugin a été découvert par des chercheurs en sécurité pour contenir un problème qui pourrait conduire à une attaque de type Reflected Cross-Site Scripting. Les éditeurs sont invités à mettre à jour au moins la version 3.0.4 du plugin.

Plusieurs plugins WordPress vulnérables

De nombreux plugins ont été signalés comme présentant des vulnérabilités. Mais ces neuf sont les plugins les plus populaires.

Tous les plugins ont reçu un correctif qui ferme la vulnérabilité, mais il appartient aux éditeurs de s’assurer qu’ils utilisent les dernières versions afin de protéger leurs sites Web et leurs visiteurs.

Citations

Gestionnaire de code d’en-tête et de pied de page
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Inserteur d’annonces – Ad Manager et AdSense Ads
https://nvd.nist.gov/vuln/detail/CVE-2022-0288

Plugin WordPress de création de popups
https://nvd.nist.gov/vuln/detail/CVE-2022-0228

Sécurité anti-malware et pare-feu Brute-Force
https://nvd.nist.gov/vuln/detail/CVE-2021-25101
https://wpscan.com/vulnerability/5fd0380c-0d1d-4380-96f0-a07be5a61eba

Protection contre la copie de contenu WP et pas de clic droit
https://nvd.nist.gov/vuln/detail/CVE-2022-23983

Sauvegarde de base de données pour WordPress
https://nvd.nist.gov/vuln/detail/CVE-2022-0255

GiveWP – Plugin de don et plateforme de collecte de fonds
https://nvd.nist.gov/vuln/detail/CVE-2021-25100
https://nvd.nist.gov/vuln/detail/CVE-2021-25099

Gestionnaire de téléchargement
https://nvd.nist.gov/vuln/detail/CVE-2021-25069
https://wpscan.com/vulnerability/4ff5e638-1b89-41df-b65a-f821de8934e8

Plugin WordPress de nettoyeur de base de données avancé
https://nvd.nist.gov/vuln/detail/CVE-2021-24921



— to www.searchenginejournal.com


Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines