L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de WordPress Plugins ~ non exhaustif

avis de vulnérabilité informatique CVE-2019-13578

WordPress Give : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress Give, afin de lire ou modifier des données.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 12/08/2019.
Références : CVE-2019-13578, FG-VD-19-098, VIGILANCE-VUL-30019.

Description de la vulnérabilité

Le produit WordPress Give utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de WordPress Give, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-14683

WordPress Import Users From CSV With Meta : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Import Users From CSV With Meta, afin de forcer la victime à effectuer des opérations.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 09/08/2019.
Références : CVE-2019-14683, VIGILANCE-VUL-30000.

Description de la vulnérabilité

Le plugin Import Users From CSV With Meta peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Import Users From CSV With Meta, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2019-14682

WordPress ACF Better Search : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress ACF Better Search, afin de forcer la victime à effectuer des opérations.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 09/08/2019.
Références : CVE-2019-14682, VIGILANCE-VUL-29999.

Description de la vulnérabilité

Le plugin ACF Better Search peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress ACF Better Search, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2019-14681

WordPress Deny All Firewall : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Deny All Firewall, afin de forcer la victime à effectuer des opérations.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 09/08/2019.
Références : CVE-2019-14681, VIGILANCE-VUL-29998.

Description de la vulnérabilité

Le plugin Deny All Firewall peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Deny All Firewall, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2019-14695

WordPress Popup Builder : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress Popup Builder, afin de lire ou modifier des données.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 07/08/2019.
Références : CVE-2019-14695, FG-VD-19-102, VIGILANCE-VUL-29972.

Description de la vulnérabilité

Le produit WordPress Popup Builder utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de WordPress Popup Builder, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-14348

WordPress JoomSport : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress JoomSport, afin de lire ou modifier des données.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 06/08/2019.
Références : CVE-2019-14348, VIGILANCE-VUL-29950.

Description de la vulnérabilité

Le produit WordPress JoomSport utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de WordPress JoomSport, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2019-13635

WordPress WP Fastest Cache : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de WordPress WP Fastest Cache, afin de lire un fichier situé hors de la racine du service.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 30/07/2019.
Références : CVE-2019-13635, VIGILANCE-VUL-29909.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de WordPress WP Fastest Cache, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2019-14328

WordPress Simple Membership : Cross Site Request Forgery via Bulk Operation menu

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery via Bulk Operation menu de WordPress Simple Membership, afin de forcer la victime à effectuer des opérations.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 29/07/2019.
Références : CVE-2019-14328, VIGILANCE-VUL-29901.

Description de la vulnérabilité

Le plugin Simple Membership peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery via Bulk Operation menu de WordPress Simple Membership, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2019-13571

WordPress Advanced CF7 DB : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress Advanced CF7 DB, afin de lire ou modifier des données.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 26/07/2019.
Références : CVE-2019-13571, FG-VD-19-093, VIGILANCE-VUL-29896.

Description de la vulnérabilité

Le produit WordPress Advanced CF7 DB utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de WordPress Advanced CF7 DB, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 29895

WordPress Photo Gallery : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de WordPress Photo Gallery, afin de lire ou modifier des données.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 26/07/2019.
Références : FG-VD-19-101, VIGILANCE-VUL-29895.

Description de la vulnérabilité

Le produit WordPress Photo Gallery utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de WordPress Photo Gallery, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur WordPress Plugins ~ non exhaustif :