Des vulnérabilités ont été rapportées dans les plugins Formidable Forms, Duplicator et Yoast SEO WordPress.  Si vous n’avez pas encore mis à jour vos plugins. Nous vous recommandons de mettre à jour immédiatement.

Les détails des vulnérabilités sont les suivants:

Formidable Forms 2.05.02 et plus a plusieurs vulnérabilités graves

Jouko Pynnönen a révélé plusieurs vulnérabilités dans Formidable Forms version 2.05.02 et plus anciennes. Le rapport comprenait plusieurs problèmes sérieux:

  • Une fonction de prévisualisation permettait aux utilisateurs non authentifiés d’exécuter un shortcode arbitraire. Normalement, l’utilisation de shortcodes est limitée aux auteurs ou aux administrateurs de sites, car beaucoup d’entre eux pourraient être utilisés pour exploiter un site.
  • Un des shortcodes du plugin incluait une vulnérabilité d’injection SQL.
  • Un autre shortcode a permis à un utilisateur non authentifié d’afficher les réponses du formulaire.
  • Les aperçus de formulaire étaient vulnérables aux scripts intersites reflétés.
  • L’entrée de formulaire n’était pas suffisamment filtrée pour empêcher les scripts intersites stockés, ce qui aurait pu être utilisé pour cibler les administrateurs lorsqu’ils voyaient des réponses de formulaire.

Formidable Forms est utilisé par plus de 200 000 sites actifs selon WordPress.org. L’équipe Formidable Forms a publié plusieurs mises à jour traitant de ces problèmes , à partir de la version 2.05.02.

Duplicateur 1.2.28 et plus ancien vulnérable aux XSS stockés

WPVulnDB signale également que le duplicateur , exécuté sur plus de 1 million de sites actifs, a corrigé une vulnérabilité de script intersite stockée affectant les versions 1.2.28 et antérieures. Ce rapport incluait également les changements de code .

Duplicator version 1.2.29 a corrigé ce problème, mais leur changelog ne mentionne pas de vulnérabilité (il n’y a actuellement aucune entrée pour la version 1.2.29).

Yoast SEO 5.7.1 et plus vulnérable aux XSS non authentifiés

WPVulnDB de Ryan Dewhurst rapporte que Yoast SEO a corrigé une vulnérabilité de script intersite non authentifiée affectant les versions 5.7.1 et antérieures. Le changement de code indiquant le correctif est lié au rapport WPVulnDB.

CONCLUSION:

Veillez à bien mettre à jour vos extensions ou opter pour nos solution de maintenance wordpress.