👋 Hello, je te propose -10% sur Divi d'ElegantThemes.com en cliquant ici ! 😊

Alerte de Sécurité WordPress – 08 Septembre 2014

Olivia
22 Oct 2024
Sécurité WordPress

Chaque jour nous sommes sont lot de problèmes de sécurité que des personnes mal intentionnées, tentent d’utiliser pour mettre à mal vos sites WordPress. C’est pourquoi vous devez constamment être à l’affût d’éventuelles failles de sécurité tant au niveau des plugin, que des thèmes voir même de WordPress.

Nous vérifions régulièrement les alertes et failles de sécurité pouvant mettre en péril le bon fonctionnement de vos sites et nous vous informons régulièrement des problèmes auxquels vous pourriez faire face.

Alerte de Sécurité WordPress – 08 Septembre 2014

Huit nouvelles vulnérabilités sont à prendre en considération aujourd’hui:

Liste des éléments présentant une faille de sécurité

WordPress Huge-IT Image Gallery : injection SQL – 8 septembre 2014

[alert-warning]Un attaquant peut donc provoquer une injection SQL de WordPress Huge-IT Image Gallery, afin de lire ou modifier des données.[/alert-warning]

WordPress All in One SEO Pack : Cross Site Scripting de /wp-admin/post.php – 5 septembre 2014

[alert-warning]Les données reçues par le plugin ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting dans /wp-admin/post.php de WordPress All in One SEO Pack, afin d’exécuter du code JavaScript dans le contexte du site web.[/alert-warning]

WordPress Mobile Pack : obtention d’articles protégés – 4 septembre 2014

[alert-warning]Un attaquant peut récupérer les articles gérés avec WordPress Mobile Pack et protégés par mot de passe.[/alert-warning]

WordPress Mobiloud : multiples Cross Site Scripting – 4 septembre 2014

[alert-warning]Les données reçues par le plugin ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Mobiloud, afin d’exécuter du code JavaScript dans le contexte du site web.[/alert-warning]

WordPress Disqus Comment System : Cross Site Request Forgery – 4 septembre 2014

[alert-warning]Le séquencement des requêtes avec des « nonce » n’est pas vérifié correctement. Les requêtes peuvent par exemple provenir d’une image affichée dans un document HTML. Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Disqus Comment System, afin de forcer la victime à effectuer des opérations.[/alert-warning]

WordPress wp-source-control : traversée de répertoire dans downloadfiles/download.php – 3 septembre 2014

[alert-warning]Les données provenant de l’utilisateur sont directement insérées dans un chemin d’accès. Les séquences comme « /.. » permettent alors de remonter dans l’arborescence. Un attaquant peut donc traverser les répertoires dans downloadfiles/download.php de WordPress wp-source-control, afin de lire un fichier situé hors de la racine du service.[/alert-warning]

WordPress Efence : Cross Site Scripting de callback.php – 3 septembre 2014

[alert-warning]Les données reçues ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting dans callback.php de WordPress Efence, afin d’exécuter du code JavaScript dans le contexte du site web.[/alert-warning]

WordPress Cakifo : Cross Site Scripting – 2 septembre 2014

[alert-warning]Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Cakifo, afin d’exécuter du code JavaScript dans le contexte du site web.[/alert-warning]