Comme tous les mois, voici une liste des principales vulnérabilités détectées ce mois-ci sur le noyau WordPress et sur certains plugins ou thèmes. Je vous indique également si ces failles sont corrigées ou non, et dans quelle version bien évidemment.
Nouvelle versions de WordPress 5.7 Esperanza !!
Ça y est la première version de l’année 2021 est arrivée avec son lot de nouveautés. Pensez à faire votre mise à jour vers cette version 5.7. Pour voir la liste des nouveautés de cette version, je vous invite directement sur le site de WordPress.org.
Vulnérabilités du noyau WordPress
Aucunes nouvelles failles détectées ce mois-ci.
Vulnérabilités des plugins
1 – Advanced Order Export For WooCommerce

Cette extension vous aide à exporter facilement les données de vos commandes WooCommerce. Exporter n’importe quel champ assigné aux commandes/produits/codes promo est facile et vous pouvez sélectionner plusieurs formats pour exporter vos données, tel que CSV, XLS, XML, JSON.
- Vulnérabilité: Cross-Site Scripting (XSS).
- Sévérité: Haute
- Version corrigée: 3.1.8
- Lien vers le plugin: https://fr.wordpress.org/plugins/woo-order-export-lite/
2 – User Profile Picture

Ce plugin vous permet de modifier les images de profil de vos utilisateurs, directement avec le gestionnaire média de WordPress.
- Vulnérabilité: Fuite d’information sensibles
- Sévérité: Moyenne
- Version corrigée: 2.5.0
- Lien vers le plugin: https://fr.wordpress.org/plugins/metronet-profile-picture/
3 – Database et VM Backups

Extension permettant de sauvegarder la base de données de votre site WordPress. Ce plugin a été fermé.
- Vulnérabilité: Pas de protection CSRF lors de la sauvegarde de la base donnée. Une fois connecté, un utilisateur peut exécuter des actions non autorisées comme modifier les paramètres du plugin ou supprimer des sauvegardes.
- Sévérité: Haute
- Version corrigée: Pas de correction connue – Plugin fermé. SI vous utilisez ce plugin, il est vivement conseillé de le désinstaller.
- Lien vers le plugin:
4 – The Plus Addons for Elementor Page Builder (Premium version)

Plugin de construction de page sans code pour Elementor. Cette extension apporte encore plus de blovk, de possibilité de personnalisation.
- Vulnérabilité: Faille sur l’authentification qui permet à n’importe qui de se connecter en se faisant passer pour un autre, même l’administrateur, en utilisant uniquement le nom d’utilisateur.
- Sévérité: CRITIQUE
- Version corrigée: 4.1.7.
- Lien vers le plugin: https://fr.wordpress.org/plugins/the-plus-addons-for-elementor-page-builder/
5 – SuperStoreFinder

Extension qui vous permet d’utiliser des cartes interactives pour localiser des commerces. Le tout en s’appuyant sur l’API Google Maps
- Vulnérabilité: SQL Injection
- Sévérité: CRITIQUE
- Version corrigée: Pas de correction connue – Plugin fermé. SI vous utilisez ce plugin, il est vivement conseillé de le désinstaller.
- Lien vers le plugin:
6 – Five Star Restaurant Menu

Gérer vos réservation de table facilement en ligne. Notifier vos clients et personnaliser vos disponibilités.
- Vulnérabilité: Injection d’objet PHP.
- Sévérité: Haute
- Version corrigée: 2.2.1.
- Lien vers le plugin: https://fr.wordpress.org/plugins/restaurant-reservations/
7 – JH 404 Logger

Extension d’enregistrement des erreurs 404
- Vulnérabilité: Cross-Site Scripting (XSS).
- Sévérité: CRITIQUE
- Version corrigée: Pas de correction connue – Plugin fermé. SI vous utilisez ce plugin, il est vivement conseillé de le désinstaller.
- Lien vers le plugin:
8 – WP File Manager

Cette extension vous permet de modifier, supprimer, télécharger, envoyer, compresser et copier vos fichiers et dossier, directement depuis le backoffice de votre site.
- Vulnérabilité: Cross-Site Scripting (XSS).
- Sévérité: Moyenne
- Version corrigée: 7.1.
- Lien vers le plugin: https://fr.wordpress.org/plugins/wp-file-manager/
9 – Related Posts for WordPress

Faites le lien entre vos articles facilement en un clic
- Vulnérabilité: Cross-Site Scripting (XSS).
- Sévérité: Moyenne
- Version corrigée: 2.0.4
- Lien vers le plugin: https://wordpress.org/plugins/related-posts-for-wp/
Vulnérabilités de thème
Aucune détections ce mois-ci