Vulnérabilités dans plusieurs modules WordPress, dont JetPack et Elementor : mettez votre site à jour !

Les modules concernés :

• Elementor
• JetPack
• WP Fastest Cache
• Gravity Forms
• Autoptimize WordPress
• Download Manager
• Otter – Gutenberg Blocks
• Orbit Fox by ThemeIsle

Détail des vulnérabilités ci-dessous :

Elementor

Cet outil de construction de pages est très populaire et largement utilisé pour la création de sites WordPress

Versions affectées :

• Elementor 3.13.2 et antérieures

Les versions 3.13.2 et 3.13.1 ont fait l’objet de correctifs de sécurité, pour une faille permettant à un attaquant d’executer des injections SQL via les fonctions de gestion des accès, ainsi que pour une faille de sécurité dans le mécanisme de création de modèles.

Il est important de mettre à jour le module en version 3.13.4, qui corrige ces failles ainsi qu’un bug fonctionnel.

En savoir plus :

> fiche CVE-2023-0329

Jetpack

Cet outil de sécurité et de performance est présent sur plus de 5 millions de sites WordPress. Il a été développé par l’éditeur Automattic, éditeur du CMS.
Lors d’un audit de sécurité interne, une vulnérabilité avec l’API disponible dans Jetpack depuis la version 2.0, sortie en 2012, a été découverte.
Cette vulnérabilité peut être utilisée par les utilisateurs d’un site (quels que soient leurs droits) pour manipuler n’importe quel fichier de l’installation de WordPress.

Versions affectées :

• Toutes les versions de Jet Pack en version antérieures à 12.1.1

 

WP Fastest Cache

Le module de cache et d’optimisation WP Fastest Cache est lui aussi assez répandu.

La version antérieure à 1.1.5 du plugin WordPress WP Fastest Cache présente une vulnérabilité de sécurité liée à la gestion des sessions dans la fonction wp_remote_get(). En l’absence de vérification et de sécurisation appropriées, cette vulnérabilité permet une exploitation potentielle via CSRF lors d’une action AJAX.

Versions affectées :

• WP Fastest Cache en version antérieures à 1.1.5

En savoir plus :

>> fiche CVE-2023-1938

 

Gravity Forms

Module de gestion de formulaires (module commercial)

Une désérialisation non sécurisée de données dans le plugin WordPress Gravity Forms permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système.
La faille affiche un score CVE de 8.3/10.

Versions affectées :

• Gravity Forms dans ses versions antérieures à 2.7.4

En savoir plus :

>> fiche CVE-2023-28782

Autoptimize WordPress

Plugin de cache et d’optimisation de WordPress.

Le plugin Autoptimize WordPress avant 3.1.7 ne nettoie pas et n’échappe pas les paramètres importés d’une exportation précédente, permettant aux utilisateurs hautement privilégiés (tels qu’un administrateur) d’injecter du javascript arbitraire dans le panneau d’administration, même lorsque la fonctionnalité unfiltered_html est désactivée, comme dans une configuration multisite.

Versions affectées :

• Autoptimize versions antérieures à 3.1.7

En savoir plus :

>> fiche CVE-2023-2113

Download Manager

Plugin de gestion des fichiers en téléchargement pour WordPress

Le plugin Download Manager WordPress ne valide pas correctement les mots de passe pour les fichiers protégés par mot de passe. Lors de la validation, une clé principale est générée et exposée à l’utilisateur, qui peut être utilisée pour télécharger n’importe quel fichier protégé par mot de passe sur le serveur, permettant à un utilisateur de télécharger n’importe quel fichier en connaissant le mot de passe de n’importe quel autre fichier.

Versions affectées :

• Download Manager versions antérieures à 3.2.71

En savoir plus :

>> fiche CVE-2023-1524

Otter – Gutenberg Blocks

Constructeur de pages qui apporte des fonctionnalitées complémentaires pour l’éditeur Gutemberg de WorPress

Le plugin Otter WordPress avant 2.2.6 ne nettoie pas certains chemins de fichiers contrôlés par l’utilisateur avant d’effectuer des opérations sur les fichiers. Cela conduit à une vulnérabilité de désérialisation PHAR sur PHP.

Versions affectées :

• Otter – Gutenberg Blocks versions antérieures à 2.2.6

En savoir plus :

>> fiche CVE-2023-2288

Orbit Fox by ThemeIsle

Cette extension propose de diverses fonctionnalités complémentaires pour les sites WordPress, telles que des outils de partage pour les réseaux sociaux, des outils complémentaires pour Elementor, des répertoires de modèles de page, des modules de scripts pour les entêtes et pieds de page, etc.

Le plugin Orbit Fox by ThemeIsle WordPress ne limite pas les URL qui peuvent être utilisées pour la fonction d’importation de photos, permettant à l’utilisateur de spécifier des URL arbitraires. Cela conduit à une falsification de requête côté serveur, car l’utilisateur peut forcer le serveur à accéder à l’URL de son choix.

Versions affectées :

• Orbit Fox versions antérieures à 2.10.24

En savoir plus :

>> fiche CVE-2023-2287

Vous n’êtes pas en mesure de faire ces mise à jour ?

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur WordPress et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Comment faire pour entretenir mon site WordPress à l’avenir  ?

Vous ne le savez peut être pas, mais Icodia propose un abonnement d’infogérance technique pour les sites WordPress, incluant les mises à jour du noyau WordPress et des modules non commerciaux figurant dans le catalogue du Codex WordPress pour 51€ ht/an.

Pour un site WordPress utilisant une dizaine de modules, cela peut représenter une centaine de mises à jour par an, qui sont indispensables pour la sécurité de votre site internet.

=> Pour plus d’informations sur cet abonnement d’infogérance technique :
vous pouvez consulter notre site à l’adresse :
http://www.icodia.com/fr/solutions/infogerance/wordpress.html
ou nous contacter.