L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de WordPress Core

bulletin de vulnérabilité informatique CVE-2019-9787

WordPress Core : Cross Site Scripting via Comments

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Comments de WordPress Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, WordPress Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 13/03/2019.
Références : CERTFR-2019-AVI-100, CVE-2019-9787, DLA-1742-1, VIGILANCE-VUL-28738.

Description de la vulnérabilité

Le plugin Core peut être installé sur WordPress.

Cependant, les données reçues via Comments ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Comments de WordPress Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2019-8943

WordPress Core : traversée de répertoire via wp_crop_image

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires via wp_crop_image() de WordPress Core, afin de créer un fichier situé hors de la racine du service.
Produits concernés : WordPress Core.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 20/02/2019.
Références : CVE-2019-8943, VIGILANCE-VUL-28561.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via wp_crop_image() de WordPress Core, afin de créer un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-1000600 CVE-2018-1000773

WordPress Core : exécution de code via PHAR Thumbnail Upload

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via PHAR Thumbnail Upload de WordPress Core, afin d'exécuter du code.
Produits concernés : WordPress Core.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 07/09/2018.
Références : CVE-2017-1000600, CVE-2018-1000773, VIGILANCE-VUL-27177.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via PHAR Thumbnail Upload de WordPress Core, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 26644

WordPress Core : déni de service via Media Upload File Deletion

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Media Upload File Deletion de WordPress Core, afin de mener un déni de service.
Produits concernés : WordPress Core.
Gravité : 2/4.
Conséquences : effacement de données, déni de service du service.
Provenance : compte utilisateur.
Date création : 06/07/2018.
Références : CERTFR-2018-AVI-327, VIGILANCE-VUL-26644.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Media Upload File Deletion de WordPress Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-12895

WordPress Core : effacement de fichier via Author Delete

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Author Delete de WordPress Core, afin de mener un déni de service.
Produits concernés : Debian, Fedora, WordPress Core.
Gravité : 2/4.
Conséquences : effacement de données.
Provenance : compte privilégié.
Date création : 27/06/2018.
Références : CVE-2018-12895, DLA-1452-1, DSA-4250-1, FEDORA-2018-623df1e98d, VIGILANCE-VUL-26554.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Author Delete de WordPress Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-10100 CVE-2018-10101 CVE-2018-10102

WordPress : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WordPress.
Produits concernés : Debian, WordPress Core.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 04/04/2018.
Références : CERTFR-2018-AVI-167, CVE-2018-10100, CVE-2018-10101, CVE-2018-10102, DLA-1366-1, DSA-4193-1, VIGILANCE-VUL-25774.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WordPress.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-6389

WordPress Core : déni de service via load-scripts.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer une surcharge via load-scripts.php de WordPress Core, afin de mener un déni de service.
Produits concernés : WordPress Core.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 06/02/2018.
Références : CVE-2018-6389, VIGILANCE-VUL-25228.

Description de la vulnérabilité

Un attaquant peut provoquer une surcharge via load-scripts.php de WordPress Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 25099

WordPress : Cross Site Scripting via MediaElement Flash Fallback

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via MediaElement Flash Fallback de WordPress, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 17/01/2018.
Références : CERTFR-2018-AVI-034, VIGILANCE-VUL-25099.

Description de la vulnérabilité

Le produit WordPress dispose d'un service web.

Cependant, les données reçues via MediaElement Flash Fallback ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via MediaElement Flash Fallback de WordPress, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-17091 CVE-2017-17092 CVE-2017-17093

WordPress Core : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WordPress Core.
Produits concernés : Debian, Fedora, WordPress Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 30/11/2017.
Références : CERTFR-2017-AVI-438, CVE-2017-17091, CVE-2017-17092, CVE-2017-17093, CVE-2017-17094, DLA-1216-1, DSA-4090-1, FEDORA-2017-15ce66d344, FEDORA-2017-994ff5ced8, VIGILANCE-VUL-24595.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WordPress Core.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-16510

WordPress Core : injection SQL via wpdb-prepare

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL via wpdb-prepare de WordPress Core, afin de lire ou modifier des données.
Produits concernés : Debian, Fedora, WordPress Core.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 31/10/2017.
Références : CERTFR-2017-AVI-388, CVE-2017-16510, DLA-1160-1, DSA-4090-1, FEDORA-2017-6fd6877975, FEDORA-2017-9d0ff8d851, VIGILANCE-VUL-24278.

Description de la vulnérabilité

Un attaquant peut provoquer une injection SQL via wpdb-prepare de WordPress Core, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur WordPress Core :