9 Plugins WordPress exposent plus de 1,3 million de sites

Neuf plugins WordPress, y compris un gestionnaire de publicités populaire, un pare-feu contre les logiciels malveillants et des gestionnaires de bases de données, présentaient des vulnérabilités affectant plus de 1,3 million de sites Web.

9 Plugins WordPress exposent plus de 1,3 million de sites

 

La base de données de vulnérabilité du gouvernement des États-Unis et les chercheurs en sécurité WordPress ont publié des alertes sur les vulnérabilités des plugins WordPress. Parmi ces plugins, 9 des plugins WordPress les plus populaires affectent plus de 1,3 million de sites Web.

Les éléments suivants figurent sur la liste des 9 plugins actuellement très vulnérables.

1. Header Footer Code Manager WordPress Plugin

Le plugin WordPress Header Footer Code Manager (+300.000 installations) a été découvert par les chercheurs en sécurité de Wordfence pour avoir une vulnérabilité de script intersite reflété.

La vulnérabilité oblige le pirate à inciter un administrateur à cliquer sur un lien ou une autre action afin de le rendre vulnérable à une prise de contrôle complète du site.

Les chercheurs ont noté que parce que ce plugin affecte une zone sensible des sites WordPress en ce sens qu’il sert à ajouter du code aux sites Web, la variété des actions malveillantes pourrait s’étendre à l’ajout de portes dérobées et à l’attaque des visiteurs du site.

Wordfence recommande aux éditeurs de mettre à jour leurs installations vers au moins la version 1.1.17.

 

2. Ad Inserter – Ad Manager & AdSense Ads

L’Ad Inserter – Ad Manager & AdSense Ads (+200.000 installations) a été signalé par WPScan comme présentant également une vulnérabilité pouvant conduire à un exploit de script intersite réfléchi.

Il est conseillé aux éditeurs de mettre à jour au moins vers la version 2.7.10. Ce plugin contient une vulnérabilité qui pourrait conduire à un exploit d’injection SQL.

 

3. Popup Builder WordPress plugin

Selon la Base de données nationale sur les vulnérabilités :

Le plugin WordPress Popup Builder (+200.000 installations) avant la version 4.0.7 ne valide pas et n’échappe pas correctement aux paramètres orderby et order avant de les utiliser dans une instruction SQL dans le tableau de bord d’administration, ce qui pourrait permettre aux utilisateurs à haut privilège d’effectuer une injection SQL.

Il est recommandé aux éditeurs de mettre à jour vers au moins la version 4.0.7 du plugin WordPress.

 

4. Anti-Malware Security and Brute-Force Firewall plugin

Ce plugin WordPress (+200.000 installations) contient également une vulnérabilité de script cross-site reflétée.

Un attaquant doit disposer d’informations d’identification de niveau administrateur pour pouvoir mener à bien l’attaque.

Il est conseillé aux éditeurs de mettre à jour au moins la version 4.20.94.

 

5. WP Content Copy Protection & No Right Click

WP Content Copy Protection & No Right Click ou Protection contre la copie de contenu WP et pas de clic droit (+100.000 installations) a été découvert par des chercheurs en sécurité de Patchstack qui ont signalé que le plugin avait une vulnérabilité Cross Site Request Forgery (CSRF).

Il est conseillé aux éditeurs de mettre à jour au moins vers la version 3.4.5.

 

6. Database Backup for WordPress

Les chercheurs en sécurité de WPScan ont signalé une vulnérabilité d’injection SQL affectant le plugin Database Backup for WordPress (100.000 installations) qui gère la partie la plus sensible de toute installation WordPress, la base de données.

Remarques de WPScan :

Le plugin ne désinfecte pas correctement et n’échappe pas au paramètre de fragment avant de l’utiliser dans une instruction SQL dans le tableau de bord d’administration, ce qui entraîne un problème d’injection SQL.

La base de données nationale sur les vulnérabilités conseille aux éditeurs de mettre à jour le plugin Database Backup for WordPress vers au moins la version 2.5.1.

 

7. GiveWP Donation Plugin

Le plugin GiveWP Donation (+100.000 installations) contient une vulnérabilité de script intersite reflété.

Il est conseillé aux éditeurs de mettre à jour au moins à la version 2.17.3 du plugin.

 

8. Download Manager

Le plugin Download Manager ou Gestionnaire de téléchargement WordPress (+100.000 installations) est un plugin contient un exploit d’injection SQL qui pourrait conduire à une attaque de script intersite réfléchie.

Il est conseillé aux éditeurs de mettre à jour au moins vers la version 3.2.34.

 

9. Advanced Database Cleaner WordPress plugin

Ce plugin a été découvert par des chercheurs en sécurité pour contenir un problème qui pourrait conduire à une attaque De script intersite réfléchi.

Il est conseillé aux éditeurs de mettre à jour au moins la version 3.0.4 du plugin.

D’après Searchenginejournal, de nombreux plugins ont été signalés comme présentant des vulnérabilités.

Mais ces 9 sont les plugins les plus populaires. Tous les plugins ont reçu un correctif qui ferme la vulnérabilité, mais c’est aux éditeurs de s’assurer qu’ils utilisent les dernières versions afin de protéger leurs sites Web et les visiteurs du site.