Sur cette page: [cacher]
Une vulnérabilité critique a été découverte dans les commentaires - le plugin WordPress wpDiscuz qui a été installé sur plus de 80,000 des sites. La vulnérabilité a déjà été corrigée.
Les versions concernées du plugin incluent les versions 7.0.0 - 7.0.4. Selon les chercheurs de Wordfence, la vulnérabilité permettait à des attaquants non authentifiés de télécharger des fichiers arbitraires, y compris les fichiers PHP, effectuant ainsi l'exécution de code à distance sur le serveur du site vulnérable.
Après avoir contacté les développeurs du plugin, les chercheurs ont fourni tous les détails de la divulgation, et un patch a finalement été rendu disponible. Les sites concernés doivent passer à la version 7.0.4 des Commentaires - plugin wpDiscuz pour éviter tout compromis.
En savoir plus sur les commentaires - Vulnérabilité du plugin wpDiscuz
La vulnérabilité, décrit comme téléchargement de fichier arbitraire, a été introduit dans la dernière mise à jour majeure du plugin, Wordfence dit. La faille a reçu un score CVSS de 10, le rendant extrêmement critique car cela pourrait conduire à des attaques d'exécution de code à distance sur le serveur du site affecté. Propriétaires de site exécutant n'importe quelle version de 7.0.0 à 7.0., devrait envisager la mise à jour vers la version corrigée, 7.0.5, Dès que possible.
wpDiscuz, qui a été installé sur des milliers de sites WordPress, est un plugin pour les zones de commentaires réactives. Le plugin est conçu pour permettre aux utilisateurs de discuter de sujets et de personnaliser leurs commentaires à l'aide d'un éditeur de texte enrichi. Dans les dernières versions 7.x.x du plugin, les développeurs ont ajouté la possibilité d'inclure des pièces jointes d'image dans les commentaires téléchargés sur le site particulier. Ce nouvel ajout, toutefois, ne disposait pas de protections de sécurité appropriées, créant ainsi le problème critique.
Lire aussi Plugin Unsplash pour WordPress: Intégration transparente pour tous les sites Web
Il convient de noter que les commentaires wpDiscuz sont conçus avec l'intention de n'autoriser que les pièces jointes d'images. “toutefois, en raison des fonctions de détection de type de fichier mime qui ont été utilisées, la vérification du type de fichier pourrait facilement être contournée, permettant aux utilisateurs non authentifiés de télécharger tout type de fichier, y compris les fichiers PHP,” Wordfence explique.
Plus tôt ce mois-ci, la même équipe de chercheurs en sécurité a signalé une vulnérabilité dans un autre plugin WordPress. le Plugin WordPress KingComposer a été trouvé pour contenir plusieurs vulnérabilités qui pourraient conduire à un contrôle d'accès sur les sites compromis. Le plugin a été installé sur plus de 100,000 des sites. Les chercheurs ont découvert un script intersite reflété non corrigé (XSS) faille dans le plugin KingComposer, identifié comme CVE-2020-15299.
Tout est fixe!
Le problème est 100% fixe et wpDiscuz est sûr.
Vous pouvez ignorer cela si vous avez déjà effectué la mise à jour vers 7.0.5 ou version supérieure (la version actuelle est 7.0.6).
Cela a été corrigé et la nouvelle version 7.0.5 est sorti il y a une semaine. Il n'y a aucun problème avec la version actuelle de wpDiscuz. Ses 100% sécurisé maintenant.
Ce genre de problèmes se produit avec presque tous les plugins WordPress, il n'y a donc aucune raison de s'inquiéter si vous avez mis à jour et à jour.
Continuez simplement à mettre à jour vos plugins et assurez-vous que vous utilisez les dernières versions.
Je vous remercie!
Développeurs wpDiscuz
Et quelques chiffres…
À propos 50% des utilisateurs de wpDiscuz utilisent actuellement les versions 7.x.x. Il s'agit de 35,000 sites Internet.
30,000 d'entre eux ont déjà mis à jour pour sécuriser 7.0.5 et versions supérieures la semaine dernière. Et à propos 3,000 les sites Web sont mis à jour tous les jours.
Donc, dans un à deux jours, il n'y aura presque certainement plus de site Web avec un ancien non sécurisé 7.0.0 - 7.0.4 les versions et presque tous les sites Web seront à jour et sûrs.
salut,
Merci pour la visite! Nous espérons que tous les utilisateurs du plugin l'ont déjà mis à jour, et personne n'est en danger. Comme tu as dis: Continuez simplement à mettre à jour vos plugins et assurez-vous que vous utilisez les dernières versions.
Merci,
Équipe de HowToHosting.guide