Maison du Numérique et de l’Innovation Place Georges Pompidou 83000 Toulon
04 94 05 55 50
info@c2rcsud.org

Vulnérabilités de WordPress

Centre Ressources Régional Cyber

Date de publicationNuméro CVENuméro C2RCDescriptionLien CVE
06-01-2022CVE-2022-21664(V521/14-10-2022/C2RC)WordPress est un système de gestion de contenu gratuit et open-source écrit en PHP et associé à une base de données MariaDB. En raison du manque de nettoyage approprié dans l'une des classes, il est possible que des requêtes SQL involontaires soient exécutées. Cela a été corrigé dans WordPress version 5.8.3. Les anciennes versions affectées sont également corrigées via la version de sécurité, qui remonte jusqu'à 4.1.34. Nous vous recommandons fortement de garder les mises à jour automatiques activées. Il n'existe aucune solution de contournement connue pour ce problème. (CVSS : 6.5) (Dernière mise à jour : 2022-04-12)lien
06-01-2022CVE-2022-21663(V520/14-10-2022/C2RC)WordPress est un système de gestion de contenu gratuit et open-source écrit en PHP et associé à une base de données MariaDB. Sur un multisite, les utilisateurs avec le rôle de super administrateur peuvent contourner le renforcement explicite/supplémentaire sous certaines conditions grâce à l'injection d'objet. Cela a été corrigé dans WordPress version 5.8.3. Les anciennes versions affectées sont également corrigées via une version de sécurité, qui remonte jusqu'à 3.7.37. Nous vous recommandons fortement de garder les mises à jour automatiques activées. Il n'existe aucune solution de contournement connue pour ce problème. (CVSS : 6.5) (Dernière mise à jour : 2022-07-28)lien
25-11-2021CVE-2021-44223(V519/14-10-2022/C2RC)WordPress avant 5.8 ne prend pas en charge l'en-tête du plugin Update URI. Cela permet aux attaquants distants d'exécuter plus facilement du code arbitraire via une attaque de la chaîne d'approvisionnement contre les installations WordPress qui utilisent n'importe quel plugin pour lequel le slug satisfait aux contraintes de nommage du répertoire de plugins WordPress.org mais n'est pas encore présent dans ce répertoire. (CVSS : 7.5) (Dernière mise à jour : 2021-11-30)lien
09-09-2021CVE-2021-39203(V518/14-10-2022/C2RC)WordPress est un système de gestion de contenu gratuit et open source écrit en PHP et associé à une base de données MySQL ou MariaDB. Dans les versions concernées, les utilisateurs authentifiés qui n'ont pas l'autorisation d'afficher les types/données de publication privés peuvent contourner les restrictions dans l'éditeur de blocs sous certaines conditions. Cela a affecté la version bêta de WordPress 5.8 pendant la période de test. C'est corrigé dans la version finale 5.8. (CVSS : 6.0) (Dernière mise à jour : 2022-08-05)lien
28-04-2021CVE-2020-36326(V517/14-10-2022/C2RC)PHPMailer 6.1.8 à 6.4.0 permet l'injection d'objets via la désérialisation Phar via addAttachment avec un nom de chemin UNC. REMARQUE : ceci est similaire à CVE-2018-19296, mais survient parce que la version 6.1.8 a corrigé un problème de fonctionnalité dans lequel les noms de chemin UNC étaient toujours considérés comme illisibles par PHPMailer, même dans des contextes sûrs. En tant qu'effet secondaire involontaire, ce correctif a éliminé le code qui bloquait l'exploitation d'addAttachment. (CVSS : 7.5) (Dernière mise à jour : 2021-06-14)lien
02-11-2020CVE-2020-28039(V516/14-10-2022/C2RC)is_protected_meta dans wp-includes/meta.php dans WordPress avant 5.5.2 permet la suppression arbitraire de fichiers car il ne détermine pas correctement si une clé méta est considérée comme protégée. (CVSS : 6.4) (Dernière mise à jour : 2022-06-29)lien
02-11-2020CVE-2020-28037(V515/14-10-2022/C2RC)is_blog_installed dans wp-includes/functions.php dans WordPress avant 5.5.2 détermine incorrectement si WordPress est déjà installé, ce qui pourrait permettre à un attaquant d'effectuer une nouvelle installation, conduisant à l'exécution de code à distance (ainsi qu'à un déni de service pour l'ancien installation). (CVSS : 7.5) (Dernière mise à jour : 2022-04-28)lien
02-11-2020CVE-2020-28036(V514/14-10-2022/C2RC)wp-includes/class-wp-xmlrpc-server.php dans WordPress avant 5.5.2 permet aux attaquants d'obtenir des privilèges en utilisant XML-RPC pour commenter une publication. (CVSS : 7.5) (Dernière mise à jour : 2022-04-28)lien
02-11-2020CVE-2020-28035(V513/14-10-2022/C2RC)WordPress avant 5.5.2 permet aux attaquants d'obtenir des privilèges via XML-RPC. (CVSS : 7.5) (Dernière mise à jour : 2022-04-28)lien
02-11-2020CVE-2020-28032(V512/14-10-2022/C2RC)WordPress avant 5.5.2 gère mal les requêtes de désérialisation dans wp-includes/Requests/Utility/FilteredIterator.php. (CVSS : 7.5) (Dernière mise à jour : 2022-06-29)lien
12-06-2020CVE-2020-4050(V511/14-10-2022/C2RC)Dans les versions concernées de WordPress, une mauvaise utilisation de la valeur de retour du filtre "set-screen-option" permet d'enregistrer des champs méta utilisateur arbitraires. Il nécessite un administrateur pour installer un plugin qui abuserait du filtre. Une fois installé, il peut être exploité par les utilisateurs à faibles privilèges. Cela a été corrigé dans la version 5.4.2, ainsi que toutes les versions précédemment affectées via une version mineure (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34). (CVSS : 6.0) (Dernière mise à jour : 2020-09-11)lien
27-12-2019CVE-2019-20041(V510/14-10-2022/C2RC)wp_kses_bad_protocol dans wp-includes/kses.php dans WordPress avant 5.3.1 gère mal l'entité HTML5 nommée deux-points, permettant aux attaquants de contourner la désinfection des entrées, comme démontré par le javascript: sous-chaîne. (CVSS:7.5) (Dernière mise à jour :2020-01-08)lien
17-10-2019CVE-2019-17675(V509/14-10-2022/C2RC)WordPress avant 5.2.4 ne prend pas correctement en compte la confusion de type lors de la validation du référent dans les pages d'administration, ce qui peut conduire à CSRF. (CVSS:6.8) (Dernière mise à jour :2019-11-05)lien
17-10-2019CVE-2019-17670(V508/14-10-2022/C2RC)WordPress avant la version 5.2.4 présente une vulnérabilité SSRF (Server Side Request Forgery) car les chemins Windows sont mal gérés lors de certaines validations d'URL relatives. (CVSS : 7.5) (Dernière mise à jour : 2022-10-10)lien
17-10-2019CVE-2019-17669(V507/14-10-2022/C2RC)WordPress avant 5.2.4 présente une vulnérabilité SSRF (Server Side Request Forgery) car la validation d'URL ne considère pas l'interprétation d'un nom comme une série de caractères hexadécimaux. (CVSS : 7.5) (Dernière mise à jour : 2019-11-05)lien
14-03-2019CVE-2019-9787(V506/14-10-2022/C2RC)WordPress avant 5.1.1 ne filtre pas correctement le contenu des commentaires, ce qui entraîne l'exécution de code à distance par des utilisateurs non authentifiés dans une configuration par défaut. Cela se produit parce que la protection CSRF est mal gérée et parce que l'optimisation des moteurs de recherche des éléments A est effectuée de manière incorrecte, ce qui conduit à XSS. Le XSS donne un accès administratif, ce qui permet des modifications arbitraires des fichiers .php. Ceci est lié à wp-admin/includes/ajax-actions.php et wp-includes/comment.php. (CVSS : 6.8) (Dernière mise à jour : 2019-03-31)lien
20-02-2019CVE-2019-8942(V505/14-10-2022/C2RC)WordPress avant 4.9.9 et 5.x avant 5.0.1 autorise l'exécution de code à distance car une entrée _wp_attached_file Post Meta peut être remplacée par une chaîne arbitraire, telle qu'une chaîne se terminant par une sous-chaîne .jpg?file.php. Un attaquant avec des privilèges d'auteur peut exécuter du code arbitraire en téléchargeant une image spécialement construite contenant du code PHP dans les métadonnées Exif. L'exploitation peut exploiter CVE-2019-8943. (CVSS : 6.5) (Dernière mise à jour : 2021-07-21)lien
06-09-2018CVE-2018-1000773(V504/14-10-2022/C2RC)WordPress version 4.9.8 et antérieure contient une vulnérabilité de validation d'entrée CWE-20 dans le traitement des vignettes qui peut entraîner l'exécution de code à distance en raison d'un correctif incomplet pour CVE-2017-1000600. Cette attaque semble être exploitable via le téléchargement de vignettes par un utilisateur authentifié et peut nécessiter des plugins supplémentaires pour être exploitée, mais cela n'a pas été confirmé pour le moment. (CVSS:6.5) (Dernière mise à jour :2018-11-14)lien
14-12-2018CVE-2018-20148(V503/14-10-2022/C2RC)Dans WordPress avant 4.9.9 et 5.x avant 5.0.1, les contributeurs pouvaient mener des attaques par injection d'objet PHP via des métadonnées spécialement conçues dans un appel XMLRPC wp.getMediaItem. Cela est dû à une mauvaise gestion des données sérialisées aux URL phar:// dans la fonction wp_get_attachment_thumb_file dans wp-includes/post.php. (CVSS:7.5) (Dernière mise à jour :2019-03-04)lien
16-11-2018CVE-2018-19296(V502/14-10-2022/C2RC)PHPMailer avant 5.2.27 et 6.x avant 6.0.6 est vulnérable à une attaque par injection d'objet. (CVSS:6.8) (Dernière mise à jour :2021-05-21)lien
10-08-2018CVE-2018-14028(V501/14-10-2022/C2RC)Dans WordPress 4.9.7, les plugins téléchargés via la zone d'administration ne sont pas vérifiés comme étant des fichiers ZIP. Cela permet de télécharger des fichiers PHP. Une fois qu'un fichier PHP est téléchargé, l'extraction du plugin échoue, mais le fichier PHP reste dans un emplacement prévisible wp-content/uploads, permettant à un attaquant d'exécuter ensuite le fichier. Cela représente un risque de sécurité dans des scénarios limités où un attaquant (qui a les capacités requises pour les téléchargements de plug-ins) ne peut pas simplement placer du code PHP arbitraire dans un fichier ZIP de plug-in valide et télécharger ce plug-in, car les autorisations du répertoire wp-content/plugins d'une machine étaient mis en place pour bloquer tous les nouveaux plugins. (CVSS : 6.5) (Dernière mise à jour : 2018-10-10)lien
26-06-2018CVE-2018-12895(V500/14-10-2022/C2RC)WordPress jusqu'à 4.9.6 permet aux utilisateurs Author d'exécuter du code arbitraire en tirant parti de la traversée de répertoires dans le paramètre de pouce wp-admin/post.php, qui est transmis à la fonction PHP unlink et peut supprimer le fichier wp-config.php. Ceci est lié à la validation manquante du nom de fichier dans la fonction wp-includes/post.php wp_delete_attachment. L'attaquant doit disposer de capacités pour les fichiers et les publications qui ne sont normalement disponibles que pour les rôles d'auteur, d'éditeur et d'administrateur. La méthodologie d'attaque consiste à supprimer wp-config.php puis à lancer un nouveau processus d'installation pour augmenter les privilèges de l'attaquant. (CVSS:6.5) (Dernière mise à jour :2021-11-05)lien
06-09-2018CVE-2017-1000600(V499/14-10-2022/C2RC)La version <4.9 de WordPress contient une vulnérabilité de validation d'entrée CWE-20 dans le traitement des vignettes qui peut entraîner l'exécution de code à distance. Cette attaque semble être exploitable via le téléchargement de vignettes par un utilisateur authentifié et peut nécessiter des plugins supplémentaires pour être exploitée, mais cela n'a pas été confirmé pour le moment. Ce problème semble avoir été partiellement, mais pas complètement résolu dans WordPress 4.9 (CVSS : 6.5) (Dernière mise à jour : 2018-10-26)lien
02-12-2017CVE-2017-17091(V498/14-10-2022/C2RC)wp-admin/user-new.php dans WordPress avant 4.9.1 définit la clé newbloguser sur une chaîne qui peut être directement dérivée de l'ID utilisateur, ce qui permet aux attaquants distants de contourner les restrictions d'accès prévues en saisissant cette chaîne. (CVSS : 6.5) (Dernière mise à jour : 2019-10-03)lien
02-11-2017CVE-2017-16510(V497/14-10-2022/C2RC)WordPress avant 4.8.3 est affecté par un problème où $wpdb->prepare() peut créer des requêtes inattendues et non sécurisées conduisant à une injection SQL potentielle (SQLi) dans les plugins et les thèmes, comme le démontre une approche "double préparation", une vulnérabilité différente que CVE-2017-14723. (CVSS : 7.5) (Dernière mise à jour : 2018-02-04)lien
23-09-2017CVE-2017-14723(V496/14-10-2022/C2RC)Avant la version 4.8.2, WordPress gérait mal les caractères % et les valeurs d'espace réservé supplémentaires dans $wpdb->prepare, et ne traitait donc pas correctement la possibilité que des plugins et des thèmes permettent des attaques par injection SQL. (CVSS : 7.5) (Dernière mise à jour : 2017-11-10)lien
18-05-2017CVE-2017-9064(V495/14-10-2022/C2RC)Dans WordPress avant 4.7.5, une vulnérabilité CSRF (Cross Site Request Forgery) existe dans la boîte de dialogue des informations d'identification du système de fichiers car un nonce n'est pas requis pour la mise à jour des informations d'identification. (CVSS : 6.8) (Dernière mise à jour : 2019-03-15)lien
30-01-2017CVE-2017-5611(V494/14-10-2022/C2RC)La vulnérabilité d'injection SQL dans wp-includes/class-wp-query.php dans WP_Query dans WordPress avant 4.7.2 permet à des attaquants distants d'exécuter des commandes SQL arbitraires en tirant parti de la présence d'un plugin ou d'un thème affecté qui gère mal un nom de type de publication spécialement conçu. (CVSS : 7.5) (Dernière mise à jour : 2021-01-30)lien
15-01-2017CVE-2017-5492(V493/14-10-2022/C2RC)La vulnérabilité de falsification de requête intersite (CSRF) dans la fonctionnalité de mode d'accessibilité d'édition de widget dans WordPress avant 4.7.1 permet à des attaquants distants de détourner l'authentification de victimes non spécifiées pour les requêtes qui effectuent une action d'accès aux widgets, liée à wp-admin/ inclut/class-wp-screen.php et wp-admin/widgets.php. (CVSS : 6.8) (Dernière mise à jour : 2017-11-04)lien