L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de WordPress Plugins ~ non exhaustif

bulletin de vulnérabilité CVE-2018-19796

WordPress Ninja Forms : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de WordPress Ninja Forms, afin de le rediriger vers un site malveillant.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/12/2018.
Références : CVE-2018-19796, VIGILANCE-VUL-27943.

Description de la vulnérabilité

Le plugin Ninja Forms peut être installé sur WordPress.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de WordPress Ninja Forms, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-19370

WordPress Yoast SEO : exécution de code via ZIP Import

Synthèse de la vulnérabilité

Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur.
Provenance : compte privilégié.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/11/2018.
Références : CVE-2018-19370, VIGILANCE-VUL-27907.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ZIP Import de WordPress Yoast SEO, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-19287

WordPress Ninja Forms : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress Ninja Forms, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2018.
Références : CVE-2018-19287, VIGILANCE-VUL-27803.

Description de la vulnérabilité

Le plugin Ninja Forms peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Ninja Forms, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 27782

WordPress Custom Frontend Login Registration Form : Cross Site Scripting

Synthèse de la vulnérabilité

Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/11/2018.
Références : VIGILANCE-VUL-27782.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress Custom Frontend Login Registration Form, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 27756

WordPress PeepSo : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress PeepSo, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : source unique (2/5).
Date création : 12/11/2018.
Références : VIGILANCE-VUL-27756.

Description de la vulnérabilité

Le plugin PeepSo peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress PeepSo, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 27755

WordPress WP User Manager : injection SQL

Synthèse de la vulnérabilité

Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2018.
Références : VIGILANCE-VUL-27755.

Description de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress WP User Manager, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-18460

WordPress WP Live Chat Support : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress WP Live Chat Support, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : source unique (2/5).
Date création : 19/10/2018.
Références : CVE-2018-18460, VIGILANCE-VUL-27589.

Description de la vulnérabilité

Le plugin WP Live Chat Support peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress WP Live Chat Support, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-17946

WordPress Tribulant Slideshow Gallery : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress Tribulant Slideshow Gallery, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/10/2018.
Références : CVE-2018-17946, DC-2017-01-014, VIGILANCE-VUL-27417.

Description de la vulnérabilité

Le plugin Tribulant Slideshow Gallery peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Tribulant Slideshow Gallery, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 27361

WordPress Breadcrumb NavXT : obtention d'information via Username Disclosure

Synthèse de la vulnérabilité

Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/09/2018.
Références : VIGILANCE-VUL-27361, waraxe-2018-SA#108.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Disclosure de WordPress Breadcrumb NavXT, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-16299

WordPress Localize My Post : traversée de répertoire

Synthèse de la vulnérabilité

Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/09/2018.
Références : CVE-2018-16299, VIGILANCE-VUL-27281.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de WordPress Localize My Post, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur WordPress Plugins ~ non exhaustif :