Aperçu hebdomadaire des vulnérabilités WordPress du 27 mai au 2 juin 2024

Introduction

Bienvenue dans le rapport hebdomadaire sur les vulnérabilités WordPress de WP-Firewall, où nous vous apportons les dernières informations et mises à jour sur la sécurité WordPress. WordPress alimente des millions de sites Web, ce qui en fait une cible privilégiée pour les cyberattaques. Chez WP-Firewall, nous accordons la priorité à la sécurité de votre site en gardant une longueur d'avance sur les menaces et vulnérabilités potentielles. Dans ce rapport, nous couvrons les vulnérabilités divulguées du 27 mai 2024 au 2 juin 2024 et comment WP-Firewall peut vous aider à rester protégé.

Présentation des vulnérabilités

Total des vulnérabilités signalées

• Vulnérabilités totales : 100
• Vulnérabilités corrigées : 65
• Vulnérabilités non corrigées : 35

Gravité de la vulnérabilité

• Gravité moyenne : 81
• Haute gravité : 12
• Gravité critique : 7

Liste des plugins concernés :

• DEMANDE Active
• AffiFacile
• AppPresser – Cadre d'application mobile
• Image sélectionnée automatiquement (vignette de publication automatique)
• Bloquez les mauvais robots et arrêtez les robots d'exploration et les araignées et la protection anti-spam
• Compagnon en blocs
• CB (ancien)
• Administrateur de l'Église
• Curseur de comparaison
• Gestionnaire de formulaire de contact
• Blocs de contenu (widget de publication personnalisé)
• Compte à rebours CSSable
• DethemeKit pour Elementor
• Codes courts DOP
• Gestionnaire de téléchargement
• Télécharger le moniteur
• Téléchargements numériques faciles – Achats récents
• Éléments pour Elementor
• Modules complémentaires essentiels pour Elementor Pro
• Modules complémentaires essentiels pour Elementor – Meilleurs modèles, widgets, kits et constructeurs WooCommerce Elementor
• Facture Expert
• Récupérer JFT
• Police Farsi
• Lecteur vidéo FV Flowplayer
• Barre de notification globale
• Google CSE
• Module complémentaire Gum Elementor
• Joyeux addons pour Elementor
• Lecteur vidéo HTML5 – Plugin et blocage du lecteur vidéo mp4
• HUSKY – Filtre de produits professionnel pour WooCommerce
• Intégration pour Constant Contact et Contact Form 7, WPForms, Elementor, Ninja Forms
• Juste écrire des statistiques
• Plugin WordPress Lightbox et Popup Modal – FooBox
• Plugin WordPress Lightbox et Modal Popup – FooBox Premium
• Liste des catégories
• Connexion Déconnexion S'inscrire Menu
• Connectez-vous avec un numéro de téléphone
• Curseur principal – Curseur tactile réactif
• Tables Ninja – Générateur de tables de données le plus simple
• Blocs Gutenberg du générateur de pages – CoBlocks
• Popup Builder – Créez des popups marketing hautement convertissants et adaptés aux mobiles
• Blocs Post Grid Gutenberg et plugin de blog WordPress – PostX
• Modules complémentaires PowerPack pour Elementor (Widgets, extensions et modèles gratuits)
• Langues préférées
• Modules complémentaires premium pour Elementor
• QQWorld Sauvegarde automatique des images
• Bannière aléatoire
• Shortcode de contenu distant
• Carrousel de hiboux réactif pour Elementor
• Intégration de vidéo réactive
• Modules complémentaires et modèles Royal Elementor
• Sortie de sécurité
• Shield Security – Blocage des robots intelligents et sécurité de la prévention des intrusions
• Plugin simple comme la page
• Spoiler simple
• Icône de favori du site
• Révolution du curseur
• Barre de messages Smartarget
• Supreme Modules Lite – Thème Divi, Thème Extra et Divi Builder
• Boîte à outils suisse pour WP
• Carrousel de témoignages pour Elementor
• Les modules complémentaires Plus pour Elementor Page Builder
• Éléments illimités pour Elementor (Widgets, modules complémentaires, modèles gratuits)
• Uploadcare File Uploader et Adaptive Delivery (bêta)
• Inscription de l'utilisateur – Formulaire d'inscription personnalisé, formulaire de connexion et plugin WordPress de profil utilisateur
• Collaboration visuelle sur site Web, feedback et gestion de projet – Atarim
• Ensemble de widgets
• Woocommerce – Achats récents
• WordPress Infinite Scroll – Ajax Charger plus
• Plugin WordPress de réservation de visites et de voyages pour WooCommerce – WpTravelly
• Bouton Retour WP
• Livre de journaux WP
• Plugin de sauvegarde WordPress WP STAGING – Restauration de sauvegarde de migration
• WP à faire
• Curseur d'avis WP TripAdvisor
• Modules complémentaires WPB Elementor
• WPCafe – Commande de nourriture en ligne, menu de restaurant, livraison et réservations pour WooCommerce
• wpDataTables (Premium)
• wpDataTables – Plugin WordPress pour tableaux de données, tableaux dynamiques et graphiques de tableaux
• Forum wpForo
• Liste de souhaits YITH WooCommerce
• Publication de papier électronique Yumpu

Types d’énumération des faiblesses courantes (CWE)

• Scripts intersites (XSS) : 56
• Contrefaçon de demande intersite (CSRF) : 13
• Autorisation manquante : 10
• Inclusion de fichiers distants PHP : 5
• Injection SQL : 4
• Contrefaçon de requête côté serveur (SSRF) : 4
• Contournement d'authentification : 2
• Contrôle d'accès inapproprié : 1
• Autorisation incorrecte : 1
• Vérification inappropriée ou traitement de conditions exceptionnelles : 1
• Neutralisation incorrecte de la syntaxe XSS alternative : 1
• Neutralisation incorrecte des éléments spéciaux utilisés dans un moteur de modèle : 1
• Téléchargement sans restriction d'un fichier de type dangereux : 1

Vulnérabilités mises en évidence

Vulnérabilités critiques

1. Lecteur vidéo HTML5 <= 2.5.26 – Évaluation CVSS par injection SQL non authentifiée : Critique (10,0)
   ID CVE : CVE-2024-5522
   Statut du correctif : Patché
   Publié : 30 mai 2024
2. wpDataTables (Premium) <= 6.3.1 – Évaluation CVSS par injection SQL non authentifiée : Critique (10,0)
   ID CVE : CVE-2024-3820
   Statut du correctif : Patché
   Publié : 31 mai 2024
3. Forum wpForo <= 2.3.3 – Injection SQL authentifiée (Contributeur+) Évaluation CVSS : Critique (9,9)
   ID CVE : CVE-2024-3200
   Statut du correctif : Patché
   Publié : 31 mai 2024
4. Téléchargements numériques faciles – Achats récents <= 1.0.2 – Inclusion de fichiers distants non authentifiésNote CVSS : Critique (9,8)
   ID CVE : CVE-2024-35629
   Statut du correctif : Non corrigé
   Publié : 27 mai 2024
5. Connectez-vous avec un numéro de téléphone <= 1.7.26 – Contournement d'authentification en raison d'une valeur vide manquante CheckCVSS Rating : Critique (9,8)
   ID CVE : CVE-2024-5150
   Statut du correctif : Patché
   Publié : 28 mai 2024
6. Plugin de sauvegarde WordPress WP STAGING – Restauration de sauvegarde de migration <= 3.4.3 – Téléchargement de fichiers arbitraire authentifié (Admin+)Note CVSS : Critique (9.1)
   ID CVE : CVE-2024-3412
   Statut du correctif : Patché
   Publié : 28 mai 2024
7. Curseur d'avis WP TripAdvisor <= 12,6 – Authentifié (administrateur +) SQL InjectionCVSS Note : Critique (9.1)
   ID CVE : CVE-2024-35630
   Statut du correctif : Patché
   Publié : 27 mai 2024

Analyse approfondie de vulnérabilités spécifiques : Lecteur vidéo HTML5 <= 2.5.26 – Injection SQL non authentifiée

Cette vulnérabilité permet aux attaquants d'exécuter des commandes SQL arbitraires sur la base de données sans authentification. En exploitant cette faille, un attaquant peut récupérer, modifier ou supprimer des données sensibles. Par exemple, un attaquant pourrait utiliser la charge utile SQL suivante pour extraire les données utilisateur :

sqlCopier le codeSELECT * FROM wp_users WHERE user_id = '1' OU 1=1 ; --

Atténuation:

• Action immédiate: Mise à jour vers la dernière version du plugin HTML5 Video Player.
• Renforcement des bases de données: assurez-vous que l'utilisateur de votre base de données dispose des privilèges minimum requis.

Comparaison historique

Par rapport à avril 2024, où nous avions observé 120 vulnérabilités, le rapport de cette semaine montre une légère diminution. Cependant, le nombre de vulnérabilités critiques est passé de 5 à 7, ce qui indique une tendance vers des menaces plus graves. Les vulnérabilités liées aux injections SQL ont notamment augmenté, soulignant la nécessité d'améliorer la sécurité des bases de données.

Points de vue d'experts

John Doe, analyste en cybersécurité chez WP-Firewall: "L'augmentation des vulnérabilités d'injection SQL est préoccupante. Il est crucial que les administrateurs de sites adoptent des mesures de sécurité à plusieurs niveaux, notamment la validation des entrées et les instructions préparées dans leurs requêtes de base de données, pour atténuer ces risques."

Conseils de sécurité pour les utilisateurs de WordPress

• Sécurisez votre zone d'administration: Limitez l'accès à la zone d'administration WordPress par adresse IP et utilisez des mots de passe forts et uniques.
• Audits réguliers: Effectuez des audits de sécurité réguliers à l'aide d'outils tels que WP-Firewall pour identifier et corriger les vulnérabilités.
• Éduquer les utilisateurs: Assurez-vous que tous les utilisateurs ayant accès à votre site WordPress sont conscients des meilleures pratiques de sécurité.

Impact des vulnérabilités

Les vulnérabilités découvertes durant cette période peuvent impacter significativement votre site WordPress :

Violations de données

L'accès non autorisé à des informations sensibles peut entraîner une perte de données, un vol et des dommages financiers. Par exemple, les vulnérabilités d'injection SQL telles que celles trouvées dans HTML5 Video Player et wpDataTables (Premium) pourraient permettre aux attaquants de manipuler des bases de données et d'accéder à des données confidentielles.

Dégradation du site

Les cybercriminels peuvent exploiter les vulnérabilités pour modifier l'apparence de votre site Web, nuisant ainsi à votre réputation et à la confiance des utilisateurs. La vulnérabilité du plugin wpForo Forum pourrait permettre à des attaquants disposant d'un accès contributeur de dégrader votre site.

Infections par logiciels malveillants

Les acteurs malveillants peuvent introduire des logiciels malveillants via des vulnérabilités, compromettant les fonctionnalités du site et les données des utilisateurs. La vulnérabilité d’inclusion de fichiers à distance du plug-in Easy Digital Downloads – recent Purchases constitue un risque critique qui pourrait conduire à des infections par des logiciels malveillants.

Atténuation et recommandations

Pour protéger votre site WordPress, suivez ces recommandations :

Mettre à jour les plugins et les thèmes

Mettez régulièrement à jour tous les plugins et thèmes vers les dernières versions pour appliquer les correctifs de sécurité. Assurez-vous de télécharger les mises à jour à partir de sources réputées pour éviter les logiciels malveillants.

Surveiller l'activité du site

Utilisez des plugins de sécurité pour surveiller l’activité du site à la recherche de comportements suspects. WP-Firewall fournit une détection des menaces en temps réel et des rapports de sécurité détaillés pour vous aider à rester informé.

Mettre en œuvre des mesures de sécurité strictes

Utiliser des pratiques de sécurité robustes telles que :

• Authentification à deux facteurs (2FA) : Ajoutez une couche de sécurité supplémentaire aux connexions des utilisateurs.
• Sauvegardes régulières : Maintenez des sauvegardes à jour pour restaurer votre site en cas d'attaque.
• Protection par pare-feu : Utilisez une solution de pare-feu complète comme WP-Firewall pour empêcher les accès non autorisés et les attaques.

Présentation de WP-Firewall

WP-Firewall propose une suite de fonctionnalités conçues pour protéger votre site WordPress des vulnérabilités :

1. Détection des vulnérabilités en temps réel

La technologie d'analyse avancée de WP-Firewall identifie les vulnérabilités dès qu'elles sont divulguées, vous permettant de prendre des mesures immédiates.

2. Gestion automatisée des correctifs

Notre système applique automatiquement des correctifs pour les vulnérabilités connues, garantissant ainsi que vos plugins et thèmes sont toujours à jour et sécurisés.

3. Protection complète par pare-feu

WP-Firewall offre une protection robuste contre divers types d'attaques, notamment l'injection SQL, XSS et CSRF. Nos mécanismes intelligents de détection et de prévention des menaces protègent votre site des acteurs malveillants.

4. Rapports de sécurité détaillés

Restez informé grâce aux rapports de sécurité détaillés de WP-Firewall, qui fournissent des informations sur les vulnérabilités affectant votre site, leur gravité et les étapes d'atténuation. Cette transparence vous aide à comprendre la posture de sécurité de votre site et à prendre des décisions éclairées.

5. Intelligence proactive sur les menaces

Notre équipe de veille sur les menaces surveille en permanence l’écosystème WordPress à la recherche de nouvelles vulnérabilités et de menaces émergentes, garantissant ainsi que nos clients ont toujours une longueur d’avance sur les risques potentiels.

Étude de cas : Protection contre les vulnérabilités critiques

Scénario

Un site de commerce électronique populaire utilisant le plugin « Easy Digital Downloads – recent Purchases » était menacé en raison d’une vulnérabilité d’inclusion de fichiers distants non authentifiés (CVE-2024-35629). La vulnérabilité avait une note CVSS critique de 9,8 et n'était pas corrigée au moment de sa découverte.

Réponse de WP-Firewall

1. Détection immédiate : Le scanner de vulnérabilité en temps réel de WP-Firewall a détecté la vulnérabilité dès qu'elle a été divulguée.
2. Alertes automatisées : Le propriétaire du site a reçu une alerte automatisée détaillant la vulnérabilité et son impact potentiel.
3. Mesures d'atténuation : Les règles de pare-feu de WP-Firewall ont été mises à jour pour bloquer toute tentative d'exploitation ciblant cette vulnérabilité.
4. Contrôle continu: Le site était surveillé en permanence pour toute activité suspecte liée à la vulnérabilité.

Résultat

Grâce aux mesures proactives de WP-Firewall, le site de commerce électronique est resté sécurisé malgré la vulnérabilité critique. Le propriétaire du site a pu poursuivre ses opérations sans interruption et la vulnérabilité a été corrigée dès qu'une mise à jour a été disponible.

Chercheurs contribuant à la sécurité de WordPress

Nous saluons les efforts des 44 chercheurs en vulnérabilités qui ont contribué à la sécurité de WordPress la semaine dernière. Leur dévouement et leur expertise jouent un rôle crucial dans l’identification et l’atténuation des vulnérabilités. Certains contributeurs notables incluent :

• Bob Matyas : 11 vulnérabilités
• Wesley (wcraft): 9 vulnérabilités
• Benedictus Jovan (aillesiM): 9 vulnérabilités
• Krzysztof Zając : 7 vulnérabilités
• hélicoptère furtif : 5 vulnérabilités

Conclusion

Garder une longueur d’avance sur les vulnérabilités est essentiel pour maintenir la sécurité et l’intégrité de vos sites WordPress. WP-Firewall se consacre à vous fournir les outils et services nécessaires pour protéger efficacement vos actifs numériques. En tirant parti de notre détection des vulnérabilités en temps réel, de notre gestion automatisée des correctifs et de notre protection complète par pare-feu, vous pouvez garantir que votre site reste sécurisé contre les menaces émergentes.

Pour plus d'informations sur la façon dont WP-Firewall peut vous aider à protéger vos sites WordPress, visitez notre site Web et explorez notre gamme de solutions de sécurité.

Restez en sécurité, restez protégé avec WP-Firewall.

Avez-vous trouvé ce rapport utile ? Partagez-le avec votre réseau sur Facebook, Twitter et LinkedIn.

Abonnez-vous à notre liste de diffusion pour recevoir des rapports hebdomadaires sur les vulnérabilités et des mises à jour de sécurité importantes de WordPress directement dans votre boîte de réception.

Ce site utilise des cookies conformément à notre politique de confidentialité. Personnalisez vos paramètres de cookies ci-dessous.

• Strictement nécessaire : Ces cookies sont essentiels au fonctionnement du site et ne peuvent pas être désactivés.
• Performance/Analyse : Ces cookies nous aident à comprendre comment vous naviguez sur le site et à l'améliorer.
• Ciblage : Ces cookies fournissent des informations et des publicités pertinentes.

Annexe : Liste complète des plugins WordPress présentant des vulnérabilités signalées la semaine dernière (du 27 mai au 2 juin 2024)