Les plugins Post Grid et Team Showcase contiennent des vulnérabilités - FR

par   |  Dernière mise à jour:  |  0 commentaires  

Sur cette page: [cacher]

  1. Vulnérabilités du plugin Post Grid et Team Showcase

vulnérabilités dans les plugins wordpress post grid et team showcaseÀ la mi-septembre, chercheurs en sécurité chez Wordfence (De défi) découvert deux vulnérabilités graves dans Post Grid. Post Grid est un plugin WordPress avec plus de 60,000 les installations, développé par PickPlugins.

Pendant l'analyse, l'équipe a découvert des vulnérabilités presque identiques dans Team Showcase, un autre plugin développé par le même auteur. Team Showcase a terminé 6,000 les installations.
La bonne nouvelle est que les développeurs de plugins n'ont publié des correctifs que quelques heures après avoir révélé les failles..

Vulnérabilités du plugin Post Grid et Team Showcase

Le premier plugin permet aux utilisateurs d'afficher leurs publications dans une disposition en grille, alors que Team Showcase affiche les membres de l'équipe d'une organisation. Les deux plugins permettaient l'importation de mises en page personnalisées, avec des fonctionnalités presque identiques. Même si Post Grid n'a pas utilisé la fonction d'importation vulnérable, il contenait toujours le code défectueux, le rendant vulnérable.

Un attaquant connecté pourrait exploiter les deux plugins avec des autorisations minimales dans Stored Cross-Site Scripting (XSS) attaques. L'exploit pourrait être fait en envoyant une requête AJAX spécifique.
Les versions concernées sont Post Grid < 2.0.73 and Team Showcase < 1.22.16. The other vulnerabilities affecting both plugins could trigger PHP Object injection. The same layout functions posed the risk of PHP Object injection via the same method used in the cross-site scripting attack. This was possible thanks to the vulnerable functions, which unserialized the payload supplied in the source parameter. This flaw also required an attacker to have minimal privileges, such as a subscriber lever. “toutefois, les sites utilisant un plugin ou un thème permettant aux visiteurs non authentifiés d'exécuter des codes courts arbitraires seraient vulnérables aux attaquants non authentifiés,"Wordfence dit.

Comment rester protégé?
Si votre site WordPress utilise l'un de ces plugins, vous devez immédiatement mettre à jour les dernières versions. Actuellement, la dernière version de Post Grid est 2.0.73, alors que la dernière version de Team Showcase est 1.22.16.

Si vous avez besoin de plus de détails techniques sur les défauts, vous pouvez vous référer à les découvertes originales.

Recherche et rédaction par:
Éditeurs HowToHosting
HowToHosting.guide fournit une expertise et un aperçu du processus de création de blogs et de sites Web, trouver le bon hébergeur, et tout ce qui se trouve entre les deux. En savoir plus...

Aucun article associé.

Laisser un commentaire

Votre adresse email ne sera pas publiée. les champs requis sont indiqués *

Ce site utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à notre Politique de confidentialité.
Je suis d'accord
Sur HowToHosting.Guide, nous proposons des avis transparents sur l'hébergement Web, garantir l’indépendance vis-à-vis des influences extérieures. Nos évaluations sont impartiales car nous appliquons des normes strictes et cohérentes à tous les avis..
Bien que nous puissions gagner des commissions d'affiliation de certaines des sociétés présentées, ces commissions ne compromettent pas l'intégrité de nos avis et n'influencent pas notre classement.
Les revenus de l'affilié contribuent à couvrir l'acquisition du compte, frais de tests, entretien, et développement de notre site Web et de nos systèmes internes.
Faites confiance à howtohosting.guide pour des informations fiables et une sincérité en matière d'hébergement.