Vulnérabilité de plusieurs plugin WordPress
Comme malheureusement chaque semaine, une nouvelle alerte de sécurité a été émise par Global Security Mag. Par mesure de sécurité, il est suggéré de désinstaller ces plugins en attendant une mise à jour sécurisée.
- WordPress Dandelion: file upload – 24 February 2014
Description de la Vulnérabilité : Le plugin WordPress Dandelion peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par WordPress Dandelion , afin, par exemple, de télécharger un cheval de Troie.
- WordPress Mysitemyway: directory traversal of _mysite_download_skin – 24 February 2014
Description de la Vulnérabilité : Les données de l’utilisateur de thèmes Mysitemyway sont directement insérées dans le chemin d’accès. Des séquences telles que «/ .. » peuvent ainsi être utilisées pour aller dans le répertoire supérieur. Un attaquant peut donc traverser les répertoires dans _mysite_download_skin de WordPress Mysitemyway, afin de lire des fichiers en dehors de la racine
- WordPress Projoom Smart Flash Header: file upload – 24 February 2014
- WordPress WooCommerce SagePay Direct Payment Gateway: Cross Site Scripting – 21 February 2014
Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page.
- WordPress Contact Form 7: file upload – 18 February 2014
Description de la Vulnérabilité : Le plugin WordPress Contact Form 7 peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par Contact Form 7, afin, par exemple, de télécharger un cheval de Troie.
- WordPress: bypassing Stop User Enumeration – 18 February 2014
Description de la Vulnérabilité : Un attaquant peut contourner le plugin Stop User Enumeration de WordPress afin d’obtenir des informations sensibles grâce à l’utilisation de requêtes HTTP GET.
Attention : Vos sites WordPress sont en danger
La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des avertissements de sécurité. Si vous repérez un plugin que vous utilisez, dans la liste ci-dessus, il vaut mieux le désinstaller avant qu’il ne soit trop tard.
Rappel Sécurité:
Une sauvegarde régulière de la totalité votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 25 février 2014 @ 9 h 38 min