Plugin WordPress : Alerte de Sécurité – 10 Février 2014

Vulnérabilité et Sécurité WordPress

Vulnérabilité de plusieurs plugin WordPress

Comme malheureusement chaque semaine, une nouvelle alerte de sécurité a été émise par Global Security Mag. Par mesure de sécurité, il est suggéré de désinstaller ces plugins en attendant une mise à jour sécurisée.

WordPress Manage Calameo Publications: Cross Site Scripting of attachment_id – 10 February 2014

Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page

WordPress Social Connect: Cross Site Scripting – 10 February 2014

Description de la Vulnérabilité : WordPress Social Connect ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web.

WordPress WP-E-Commerce: Plusieurs vulnérabilités annoncées – 10 February 2014

Description de la Vulnérabilité : Plusieurs vulnérabilités ont été annoncées dans WordPress WP-E-Commerce.

  • Un attaquant peut envoyer un fichier malveillant via save-data.functions.php, afin par exemple de télécharger un cheval de Troie. [Gravité: 2/4]
  • Un attaquant peut employer ajax.php, afin d’exécuter du code. [Gravité: 2/4]
  • Un attaquant peut employer affichage-vente-logs.php, afin d’exécuter du code. [Gravité: 2/4]
  • Un attaquant peut employer misc.functions.php, afin d’obtenir des informations sensibles. [Gravité: 2/4]
  • Un attaquant peut provoquer un Cross Site Scripting dans swfupload.swf, afin d’exécuter du code JavaScript dans le contexte du site web. [Gravité: 2/4]

WordPress Wordfence Security: Cross Site Scripting of User-Agent – 06 February 2014

Description de la Vulnérabilité : Un attaquant peut provoquer un Cross Site Scripting via le User-Agent de WordPress Wordfence Security. Compte tenu que le plugin ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut provoquer un Cross Site Scripting via le User-Agent de WordPress Wordfence Security, afin d’exécuter du code JavaScript dans le contexte du site web.

WordPress Global Flash Galleris: file upload  – 05 February 2014

Description de la Vulnérabilité : Le plugin Global Flash Galleris peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par Global Flash Galleris, afin, par exemple, de télécharger un cheval de Troie.

Vous pouvez consulter sur la page Vulnérabilité et Sécurité WordPress, le détail des failles découvertes

securiser-votre-blog

Attention : Vos sites WordPress sont en danger

La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des  avertissements de sécurité. Si dans la liste ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Rappel Sécurité:

Une sauvegarde régulière de votre site WordPress est nécessaire afin de palier à tout problème.

Publié à l'origine le : 11 février 2014 @ 8 h 06 min

Pour compléter votre lecture.