CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10491
Vulnérabilités multiples dans les plugins WordPress
Mis à jour: 07/05/2018
Date de la détection
?
03/17/2015
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans les plugins et les thèmes de WordPress. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter ou injecter du code arbitraire, contourner la sécurité et lire des fichiers locaux.

Voici une liste complète des vulnérabilités

  1. Plusieurs vulnérabilités XSS ont été trouvées dans Spider Facebook, DB de formulaire de contact, WooCommerce, WP Media Cleaner, Ninja Forms, lecteur audio WonderPlugin, WPML et les plugins Google Doc Embedder. En exploitant ces vulnérabilités, les utilisateurs malveillants peuvent injecter un script arbitraire. Ces vulnérabilités peuvent être exploitées à distance via un vecteur inconnu lié au panneau d'administration;

  2. Des vulnérabilités CSRF multiples ont été trouvées dans les domaines Mobile, Image Metadata Cruncher, Acobot Live Chat et Contact, CrossSlide jQuery, Easy Social Icons et les plugins de redirection. En exploitant ces vulnérabilités, les utilisateurs malveillants peuvent pirater les administrateurs. Ces vulnérabilités peuvent être exploitées à distance via un vecteur inconnu lié au panneau d'administration;

  3. La vulnérabilité Directory traversal a été trouvée dans le thème Elegant Themes Divi. En exploitant cette vulnérabilité, les utilisateurs malveillants peuvent lire les fichiers locaux. Cette vulnérabilité peut être exploitée à distance via un paramètre img spécialement conçu;

  4. La vulnérabilité d'injection de SQL a été trouvée dans la galerie de vidéo d'Apptha WordPress, le joueur audio de WonderPlugin, le calendrier d'événement de Spider, les plugins de sondage et de sondage de WPML et de WordPress et le thème de Photocrati. En exploitant cette vulnérabilité, les utilisateurs malveillants peuvent exécuter des commandes SQL arbitraires. Cette vulnérabilité peut être exploitée à distance via un vecteur lié au panneau d'administration.

  5. Le téléchargement de fichiers sans restriction a été trouvé dans le thème Fusion. En exploitant cette vulnérabilité, les utilisateurs malveillants peuvent exécuter du code arbitraire. Cette vulnérabilité peut être exploitée à distance via un vecteur non spécifié.

  6. Une gestion incorrecte des requêtes et d'autres vulnérabilités inconnues ont été trouvées dans le plugin WPML. En exploitant ces vulnérabilités, vous pouvez contourner les restrictions de sécurité. Ces vulnérabilités peuvent être exploitées à distance via une requête spécialement conçue.
Produits concernés

Versions du plugin Spider Facebook antérieures à la version 1.0.11
Plugin Mobile Domain version 1.5.2
Redirection Page plugin version 1.2
Elegant Themes Divi theme toutes les versions
Versions du plug-in Google Doc Embedder antérieures à la version 2.5.19
Image Metadata Cruncher plugin toutes les versions
Formulaire de contact DB plugin version 2.8.26
Acobot Live Chat & formulaire de contact plugin version 2.0
Versions du plugin WooCommerce antérieures à 2.2.11
Apptha WordPress Video Gallery plugin versions antérieures à 2.8
WordPress Survey et Poll plugin version 1.1.7
CrossSlide jQuery plugin version 2.0.5
Les versions du plugin Easy Social Icons antérieures à 1.2.3
Versions du plugin WonderPlugin Audio Player antérieures à 2.1
Fusion thème version 3.1
Ninja Forms plugin versions antérieures à 2.8.9
Photocrati theme 4 toutes les versions
Versions du plugin WPML antérieures à 3.1.9

Solution

Mettre à jour vers une version sécurisée ou sélectionner un autre plugin ou thème à utiliser

Impacts
?
RLF 
[?]

CI 
[?]

ACE 
[?]

SB 
[?]
Produits liés
WordPress unclassified products
CVE-IDS
?

CVE-2015-2791
CVE-2015-2792
CVE-2015-2314
CVE-2015-2315
CVE-2015-2216
CVE-2015-2218
CVE-2015-2220
CVE-2015-2194
CVE-2015-2195
CVE-2015-2196
CVE-2015-2199
CVE-2015-2084
CVE-2015-2089
CVE-2015-2090
CVE-2015-2065
CVE-2015-2069
CVE-2015-2039
CVE-2015-2040
CVE-2015-1614
CVE-2015-1879
CVE-2015-1579
CVE-2015-1580
CVE-2015-1581
CVE-2015-1582


Lien vers l'original