Vulnérabilité de plusieurs plugin WordPress
Les semaines se suivent et se ressemblent en terme de sécurité, hier au soir, une nouvelle alerte de sécurité a été émise par Global Security Mag. Nous vous suggérons, par mesure de sécurité, de désinstaller ces plugins en attendant une mise à jour sécurisée.
- WordPress WP-Password : Cross Site Scripting – 4 mars 2014
Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page
- WordPress Better WP Security : deux vulnérabilités – 4 mars 2014
Description des Vulnérabilités :
- Un attaquant peut employer Database Backup, afin d’obtenir des informations sensibles.
- Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web.
- WordPress Acunetix WP Security : Cross Site Request Forgery – 4 mars 2014
Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
- WordPress dzs-videogallery : Cross Site Scripting – 28 février 2014
- WordPress Buddypress : Elévation de privilèges – 28 février 2014
Description de la Vulnérabilité : Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.
- WordPress Buddypress : Cross Site Scripting – 28 février 2014
- WordPress All in One Carousel : Cross Site Scripting – 28 février 2014
- WordPress Mobiloud : Cross Site Scripting- 27 février 2014
- WordPress Frontend Upload : upload de fichier- 26 février 2014
Description de la Vulnérabilité : Le plugin WordPress Frontend Upload peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par WordPress Frontend Upload , afin, par exemple, de télécharger un cheval de Troie.
- WordPress Kiddo : upload de fichier- 26 février 2014
Description de la Vulnérabilité : Le plugin WordPress Kido peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par Global Flash Galleris, afin, par exemple, de télécharger un cheval de Troie
Attention : Vos sites WordPress sont en danger
La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des avertissements de sécurité. Si dans la liste ci-dessus, vous repérez un plugin installé sur votre site WordPress, il vaut mieux le désinstaller avant qu’il ne soit trop tard.
Rappel de Sécurité:
Une sauvegarde régulière de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 5 mars 2014 @ 9 h 48 min