Collection de vulnérabilités WordPress: mai 2019, partie 1

De nouvelles vulnérabilités dans le plugin wordpress ont été publiées ce mois – ci, nous vous tenons donc au courant. Dans cet article, nous classons les vulnérabilités WordPress de ce mois en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Dans cet article, nous incluons les violations de l’ensemble du réseau, car il est également important de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité dans la base de données pourrait exposer les identifiants des utilisateurs de votre site Web et ouvrir la porte à un attaquant pour accéder à votre site Web.
À la date de publication de ce billet, aucune vulnérabilité de base de WordPress n’a été identifiée en 2019. Vulnérabilité du plug – in WordPress 1. Blog Designer Le plug – in blog Designer 1.8.10 et plus tôt est vulnérable aux attaques de script inter – site (xss). Selon webarx, les utilisateurs non authentifiés peuvent soumettre une demande post pour mettre à jour les paramètres du plug – in. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.8.11. 2. Calendrier intégré des activités Tous les calendriers d’événements 2.5.38 et plus tôt sont vulnérables aux attaques de script intersite. L’entrée de l’événement n’a pas été stérilisée, ce qui a entraîné une attaque xss.
Ce que vous devez faire pour corriger cette vulnérabilité, vous devriez mettre à jour la version 2.5.39. 3. Cache total W3 Ce mois – ci, le plug – in W3 total cache 0.9.7.3 et les versions suivantes ont révélé trois vulnérabilités différentes. La première vulnérabilité est une vulnérabilité ssrf qui peut être exploitée à l’aide d’une attaque RCE. La deuxième vulnérabilité est une attaque de script inter – site. La troisième vulnérabilité permet de contourner les contrôles de chiffrement. Vous devriez mettre à jour la version 0.9.7.4. 4. Extension C
Télécharger le fichier de formulaire Ninja Ninja forms file uploads extension 3.0.22 and earlier are vulnerable to arbitrary file Loading attacks. Le site devrait installer le formulaire Ninja et activer l’extension de téléchargement de fichiers pour permettre l’exploitation de cette vulnérabilité. Onvio signale qu’un attaquant peut utiliser cette vulnérabilité pour exécuter du Code malveillant.
Vous devriez mettre à jour la version 3.0.23. 5. Membres finals Ultimate Member 2.0.45 et plus tôt sont vulnérables à des attaques arbitraires de lecture et de suppression de fichiers et à deux attaques de script croisé différentes. Suchuri souligne que cette attaque très grave pourrait permettre à un attaquant de saisir votre site Web. Vous devriez mettre à jour la version 2.0.46. 6. Kit de terrain personnalisé Les versions 2.5.14 et antérieures de la suite de terrain personnalisée sont vulnérables aux attaques de script inter – site authentifiées. Il est important de se rappeler qu’un utilisateur ayant des privilèges d’éditeur ou d’administrateur doit être connecté pour exploiter cette vulnérabilité.
Vous devriez mettre à jour la version 2.5.15. Ce type d’attaque démontre l’importance de l’utilisation de l’authentification à deux facteurs wordpress pour les utilisateurs privilégiés, tels que les administrateurs. Avec themes Security pro, force les utilisateurs privilégiés à bloquer WordPress en utilisant 2fa. Vulnérabilité de thème WordPress 0 vulnérabilité de thème WordPress a été publié en mai! Violations de l’ensemble du Web 1. Un groupe de hackers nommé fxmsp prétend avoir volé 30 TB de données à une société antivirus américaine. Pour en savoir plus: les hackers vendent l’accès et le code source de l’entreprise antivirus.
C’est une histoire intéressante parce qu’elle montre
Notre plugin de sécurité WordPress Security pro offre plus de 30 façons de protéger votre site contre les vulnérabilités de sécurité WordPress communes. Avec l’authentification à deux facteurs de WordPress, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, vous pouvez ajouter une couche de sécurité supplémentaire à votre site.
Va chercher la sécurité d’isemus. Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer d’améliorer notre gamme de produits themes. C’est un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.