🎉Wordfence vient de lancer son programme de prime aux bogues. Au cours des 6 prochains mois, toutes les primes attribuées reçoivent un bonus de 10 %. Consultez l’annonce pour en savoir plus maintenant !
La semaine dernière, 79 vulnérabilités ont été révélées dans 64 plugins WordPress et aucun thème WordPress n’a été ajouté à la base de données de vulnérabilités de Wordfence Intelligence, et 22 chercheurs en vulnérabilités ont contribué à la sécurité de WordPress la semaine dernière. Examinez maintenant ces vulnérabilités dans ce rapport pour vous assurer que votre site n’est pas affecté.
Notre mission avec Wordfence Intelligence est de rendre les informations précieuses sur les vulnérabilités facilement accessibles à tous, comme à la communauté WordPress, afin que les individus et les organisations puissent utiliser ces données pour rendre Internet plus sécurisé. C’est pourquoi le Wordfence Intelligence interface utilisateur, API de vulnérabilité, intégration de webhookset Scanner de vulnérabilités Wordfence CLI sont tous totalement libres d’accès et d’utilisation à la fois personnelle et commerciale, et c’est pourquoi nous publions ce rapport hebdomadaire sur les vulnérabilités.
Les entreprises, les fournisseurs d’hébergement et même les particuliers peuvent utiliser le Scanner de vulnérabilités Wordfence CLI pour exécuter régulièrement des analyses de vulnérabilité sur les sites qu’ils protègent. Ou bien, utilisez le API de base de données de vulnérabilité pour recevoir un vidage complet de notre base de données de plus de 12 000 vulnérabilités, puis utiliser le intégration de webhooks pour rester au courant des dernières vulnérabilités ajoutées en temps réel, ainsi que des mises à jour apportées à la base de données, tout cela gratuitement.
Cliquez ici pour vous inscrire à notre liste de diffusion pour recevoir des rapports de vulnérabilité hebdomadaires comme celui-ci et des rapports de sécurité WordPress importants dans votre boîte de réception dès leur publication.
Nouvelles règles de pare-feu déployées la semaine dernière
L’équipe Wordfence Threat Intelligence examine chaque vulnérabilité pour déterminer son impact et sa gravité, ainsi que pour évaluer la probabilité d’exploitation, afin de vérifier que le pare-feu Wordfence offre une protection suffisante.
L’équipe a déployé une protection améliorée via des règles de pare-feu pour les vulnérabilités suivantes en temps réel sur notre Prime, Se soucieret Réponse clients la semaine dernière :
Clôture de mots Prime, Se soucieret Réponse les clients ont reçu cette protection immédiatement, tandis que les utilisateurs exécutant toujours la version gratuite de Wordfence recevront cette protection améliorée après un délai de 30 jours.
Total des vulnérabilités non corrigées et corrigées la semaine dernière
| État du correctif | Nombre de vulnérabilités |
| Non corrigé | 15 |
| Patché | 64 |
Total des vulnérabilités par gravité CVSS la semaine dernière
| Cote de gravité | Nombre de vulnérabilités |
| Faible gravité | 0 |
| Gravité moyenne | 54 |
| Haute gravité | 23 |
| Gravité critique | 2 |
Total des vulnérabilités par type CWE la semaine dernière
| Type de vulnérabilité par CWE | Nombre de vulnérabilités |
| Neutralisation incorrecte des entrées lors de la génération de pages Web (« Cross-site Scripting ») | 23 |
| Autorisation manquante | 19 |
| Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (« Injection SQL ») | 16 |
| Contrefaçon de demande intersite (CSRF) | 13 |
| Téléchargement sans restriction d’un fichier de type dangereux | 2 |
| Contrôle incorrect du nom de fichier pour l’instruction Include/Require dans le programme PHP (« Inclusion de fichier distant PHP ») | 2 |
| Défaillance du mécanisme de protection | 2 |
| Contrôle inapproprié de la génération de code (« injection de code ») | 1 |
| Contournement d’autorisation via une clé contrôlée par l’utilisateur | 1 |
Chercheurs qui ont contribué à la sécurité de WordPress la semaine dernière
Êtes-vous un chercheur en sécurité et souhaitez figurer dans notre rapport hebdomadaire sur les vulnérabilités ? Vous pouvez nous divulguer de manière responsable vos découvertes de vulnérabilités WordPress et obtenir un identifiant CVE via ce formulaire. En nous divulguant de manière responsable vos découvertes de vulnérabilités, votre nom sera également ajouté sur le Classement Wordfence Intelligence en plus d’être mentionné dans notre rapport hebdomadaire sur les vulnérabilités.
Plugins WordPress avec des vulnérabilités signalées la semaine dernière
Détails de la vulnérabilité
Veuillez noter que si vous exécutez le plugin Wordfence sur votre site WordPress, avec le scanner activé, vous devriez déjà avoir été averti si votre site était affecté par l’une de ces vulnérabilités. Si vous souhaitez recevoir des notifications en temps réel chaque fois qu’une vulnérabilité est ajoutée à la base de données de vulnérabilités Wordfence Intelligence, consultez notre intégration Slack et HTTP Webhookdont l’utilisation est totalement gratuite.
Les modules complémentaires Plus pour Elementor Pro <= 5.2.8 – Inclusion de fichiers locaux non authentifiés
Annonces de datafeedr.com <= 1.1.3 – Exécution de code à distance non authentifié (limité)
Diaporama à défilement vertical d’images <= 9.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Diaporama accordéon Jquery <= 8.1 – Injection SQL authentifiée (Abonné+) via Shortcode
Diaporama de défilement de bobine horizontale d’image <= 13.2 – Injection SQL authentifiée (Abonné+) via Shortcode
Galerie de diaporamas d’images haut et bas <= 12.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Superbe galerie de diaporamas <= 13.1 – Injection SQL authentifiée (Abonné+) via Shortcode
Téléscripteur d’actualités Jquery <= 3.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Curseur de texte photo Wp 50 <= 8.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Wp everything slider <= 9.1 – Injection SQL authentifiée (Abonné+) via Shortcode
Bobine d’informations <= 10.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Galerie de diaporamas d’images gauche droite <= 12.0 – Injection SQL authentifiée (Abonné+) via Shortcode
wp image slideshow <= 12.0 – Injection SQL authentifiée (Abonné+) via Shortcode
WooODT Lite <= 2.4.6 – Autorisation manquante pour la mise à jour des options arbitraires
WP fade in text news <= 12.0 – Injection SQL authentifiée (Abonné+) via Shortcode
Popup avec fancybox <= 3.5 – Injection SQL authentifiée (Abonné+) via Shortcode
Plugin de chapiteau vertical <= 7.1 – Injection SQL authentifiée (Abonné+) via Shortcode
Message ticker <= 9.2 – Injection SQL authentifiée (Abonné+) via Shortcode
Filtre HTML et recherche de fichiers CSV <= 2.7 – Inclusion de fichiers locaux authentifiés (Contributeur+) via Shortcode
Glisser et déposer plusieurs fichiers téléchargés – Formulaire de contact 7 <= 1.3.7.3 – Téléchargement de fichiers arbitraires non authentifiés
Finale Lite <= 2.16.0 – Autorisation manquante pour la suppression de contenu
WP Travel <= 7.5.0 – Autorisation manquante via plusieurs actions AJAX
wpDiscuz <= 7.6.11 – Scripts intersites stockés non authentifiés via le nom de fichier de l'image téléchargée par commentaire
Icons Font Loader <= 1.1.2 – Téléchargement de fichiers arbitraire authentifié (administrateur +)
iPages Flipbook < 1.5.0 – Injection SQL authentifiée (administrateur +)
Funnelforms Free <= 3.4 – Autorisation manquante pour une suppression arbitraire après
Funnelforms Free <= 3.4 – Contrefaçon de demande intersite jusqu'à la suppression arbitraire de la publication
Youzify <= 1.2.2 – Référence d'objet direct non sécurisé
URL courte <= 1.6.8 – Autorisation manquante via plusieurs fonctions AJAX
Filtre HTML et recherche de fichiers CSV <= 2.7 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
SEO Slider <= 1.1.0 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
WP Meta and Date Remover < 2.2.0 – Scripts intersites stockés authentifiés (Abonné +) via les paramètres
Linker <= 1.2.1 – Scripts intersites stockés authentifiés (Contributeur+)
Extensions du framework Apollo13 <= 1.9.0 – Scripts intersites stockés authentifiés (Contributeur+) via un code court
Gift Up Gift Cards pour WordPress et WooCommerce <= 2.20.1 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
Interagissez : intégrez un quiz sur votre site <= 3.0.7 – Scripts intersites stockés authentifiés (Contributeur+) via un code court
Formulaires iframe <= 1.0 – Scripts intersites stockés authentifiés (Contributeur +) via le shortcode iframe
Mises à jour en direct d’Excel <= 2.3.2 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
Téléchargez les 25 meilleures icônes sociales <= 3.1 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
Panier d’achat Easy PayPal <= 1.1.10 – Scripts intersites stockés authentifiés (Contributeur +) via un code court
Interface utilisateur ShortCodes <= 1.9.8 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
Digirisk 6.0.0.0 – Scripts intersites réfléchis
GiveWP <= 2.33.3 – Contrefaçon de demande intersite pour supprimer l'intégration Stripe
Publication automatique pour Google My Business <= 3.7 – Contrefaçon de demande intersite
idbbee <= 1.0 – Scripts intersites stockés authentifiés (Contributeur+) via Shortcode
GiveWP <= 2.33.3 – Contrefaçon de requêtes intersites jusqu'à la désactivation du plugin
GiveWP <= 2.33.1 – Autorisation manquante via handleBeforeGateway
Defender Security <= 4.2.0 – Contournement de la fonctionnalité de sécurité de la zone de connexion masquée
Solid Security Basic <= 9.0.0 – Divulgation de la page de connexion non authentifiée
Post Sliders et Post Grids <= 1.0.20 – Scripts intersites stockés authentifiés (administrateur +)
Carte du monde interactive de base <= 2.0 – Scripts intersites stockés authentifiés (administrateur +)
IdeaPush <= 8.46 – Scripts intersites stockés authentifiés (administrateur +)
Contrôle de la barre d’administration et du tableau de bord <= 1.2.8 – Scripts intersites stockés authentifiés (administrateur +)
Flux social | Tous les médias sociaux au même endroit <= 1.5.4.6 – Scripts intersites stockés authentifiés (administrateur +)]
Commentaires Notes <= 1.1.7 – Scripts intersites stockés authentifiés (administrateur +)
Layer Slider <= 1.1.9.7 – Scripts intersites stockés authentifiés (administrateur +)
ChatBot 4.8.6 – 4.9.6 – Scripts intersites stockés authentifiés (administrateur +) dans FAQ Builder
Advance Menu Manager <= 3.0.6 – Autorisation manquante
Divulgation des affiliés WP <= 1.2.6 – Contrefaçon de demande intersite via check_capability
Funnelforms Free <= 3.4 – Autorisation manquante pour la mise à jour de la catégorie
Mots rotatifs animés <= 5.4 – Contrefaçon de requêtes intersites via save_admin_options
Avis clients WP <= 3.6.6 – Exposition d'informations sensibles authentifiées (Abonné+)
UsersWP <= 1.2.3.22 – Contrefaçon de demande intersite
Mots rotatifs animés <= 5.4 – Autorisation manquante via save_admin_options
Funnelforms Free <= 3.4 – Autorisation manquante pour tester l'envoi d'e-mails
Funnelforms Free <= 3.4 – Autorisation manquante pour la création d'une nouvelle catégorie
Kadence WooCommerce Email Designer <= 1.5.11 – Contrefaçon de requêtes intersites
Top 10 <= 3.3.2 – Contrefaçon de requêtes intersites via edit_count_ajax
Funnelforms Free <= 3.4 – Autorisation manquante pour publier une modification
Funnelforms Free <= 3.4 – Autorisation manquante pour la suppression de catégorie
Funnelforms Free <= 3.4 – Autorisation manquante pour activer/désactiver le mode sombre
Advance Menu Manager <= 3.0.6 – Contrefaçon de demande intersite
Funnelforms Free <= 3.4 – Contrefaçon de demande intersite jusqu'à la duplication arbitraire de post
Décorateur – WooCommerce Email Customizer <= 1.2.7 – Contrefaçon de demande intersite
curseur de carrousel vidéo avec lightbox 1.0 – Contrefaçon de demande intersite
GiveWP <= 2.33.3 – Contrefaçon de requêtes intersites pour l'installation du plugin
Funnelforms Free <= 3.4 – Autorisation manquante pour une post-duplication arbitraire
Demande de catalogue de produits <= 5.0.2
Modèles d’e-mails <= 1.4.2 – Contrefaçon de demande intersite via send_test_email
Pour rappel, Wordfence a organisé une base de données de vulnérabilités de pointe avec toutes les vulnérabilités connues du noyau, des thèmes et des plugins WordPress, connue sous le nom de Wordfence Intelligence.
Cette base de données est continuellement mise à jour, entretenue et alimentée par les chercheurs en vulnérabilité hautement qualifiés et expérimentés de Wordfence grâce à des recherches internes sur les vulnérabilités, des chercheurs en vulnérabilité nous soumettant directement à l’aide de notre formulaire de demande CVE et en surveillant diverses sources pour capturer toutes les informations de vulnérabilité WordPress accessibles au public. et en ajoutant un contexte supplémentaire là où nous le pouvons.
Cliquez ici pour vous inscrire à notre liste de diffusion pour recevoir des rapports de vulnérabilité hebdomadaires comme celui-ci et des rapports de sécurité WordPress importants dans votre boîte de réception dès leur publication.
Source link