Il se nomme Miroslav Stampar, il est développeur et visiblement de nationalité Croate. Il a publié, entre août et septembre, pas loin de 45 alertes de sécurité !
Le chiffre mérite le détour, autant de vulnérabilité d’un coup pour un seul CMS, ça reste conséquent. Cela peut avoir comme conséquence direct l’augmentation du nombre de sites WordPress piratés… Surtout que le développeur est spécialisé dans les vulnérabilité de type injections SQL.
Sur son blog, il détaille ses alertes : http://unconciousmind.blogspot.com/. On peut voir que ce dernier fait du bon boulot. Espérons que cela pousse les développeurs de plugins à améliorer la sécurité de ceux-ci car trop souvent, les plugins sont la cause majeur de toutes les attaques visant les sites basés sur des CMS.
Sur Exploit-DB, Stampar a deux pages rien qu’à lui, tous les advisory concernant des plugins WordPress. En voici la liste :
- WordPress Social Slider plugin <= 5.6.5 SQL Injection Vulnerability
- WordPress ProPlayer plugin <= 4.7.7 SQL Injection Vulnerability
- WordPress Media Library Categories plugin <= 1.0.6 SQL Injection Vulnerability
- WordPress UPM Polls plugin <= 1.0.3 SQL Injection Vulnerability
- WordPress IP-Logger Plugin <= 3.0 SQL Injection Vulnerability
- WordPress OdiHost Newsletter plugin <= 1.0 SQL Injection Vulnerability
- WordPress Easy Contact Form Lite plugin <= 1.0.7 SQLi
- WordPress WP Symposium plugin <= 0.64 SQL Injection Vulnerability
- WordPress Contus HD FLV Player plugin <= 1.3 SQL Injection Vulnerability
- WordPress File Groups plugin <= 1.1.2 SQL Injection Vulnerability
- WordPress Menu Creator plugin <= 1.1.7 SQL Injection Vulnerability
- WordPress Allow PHP in Posts and Pages plugin <= 2.0.0.RC1 SQL Injection Vulnerability
- WordPress Global Content Blocks plugin <= 1.2 SQL Injection Vulnerability
- WordPress Ajax Gallery plugin <= 3.0 SQL Injection Vulnerability
- WordPress WP Forum plugin <= 1.7.8 SQL Injection Vulnerability
- WordPress WP DS FAQ plugin <= 1.3.2 SQL Injection Vulnerability
- WordPress UnGallery plugin <= 1.5.8 Local File Disclosure Vulnerability
- WordPress MM Duplicate plugin <= 1.2 SQL Injection Vulnerability
- WordPress oQey Headers plugin <= 0.3 SQL Injection Vulnerability
- WordPress Collision Testimonials plugin <= 3.0 SQL Injection Vulnerability
- WordPress Super CAPTCHA plugin <= 2.2.4 SQL Injection Vulnerability
- WordPress MM Forms Community plugin <= 1.2.3 SQL Injection Vulnerability
- WordPress Js-appointment plugin <= 1.5 SQL Injection Vulnerability
- WordPress mySTAT plugin <= 2.6 SQL Injection Vulnerability
- WordPress Profiles plugin <= 2.0 RC1 SQL Injection Vulnerability
- WordPress Evarisk plugin <= 5.1.3.6 SQL Injection Vulnerability
- WordPress Facebook Promotions plugin <= 1.3.3 SQL Injection Vulnerability
- WordPress iCopyright(R) Article Tools plugin <= 1.1.4 SQL Injection
- WordPress SH Slideshow plugin <= 3.1.4 SQL Injection Vulnerability
- WordPress Couponer plugin <= 1.2 SQL Injection
- WordPress PureHTML plugin <= 1.0.0 SQL Injection
- WordPress yolink Search plugin <= 1.1.4 SQL Injection
- WordPress wp audio gallery playlist plugin <= 0.12 SQL Injection
- WordPress Crawl Rate Tracker plugin <= 2.0.2 SQL Injection Vulnerability
- WordPress Event Registration plugin <= 5.4.3 SQL Injection
- WordPress Advertizer plugin <= 1.0 SQL Injection Vulnerability
- WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability
- WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
- WordPress Donation plugin <= 1.0 SQL Injection
- WordPress VideoWhisper Video Presentation plugin <= 1.1 SQL Injection Vulnerability
- WordPress Facebook Opengraph Meta Plugin plugin <= 1.0 SQL Injection Vulnerability
- WordPress Zotpress plugin <= 4.4 SQL Injection Vulnerability
Merci pour cette nouvelle, je vais vérifier mes divers wordpress et éviter d’installer ces plugins.
je bookmarke aussi la liste ça évitera d’en installer un de ceux là dans le futur
Merci pour cette liste, même si nous n’en utilisons aucun de ceux cités, je bookmarke cette page, ça peut toujours être utile !
Merci pour les infos.
Les commentaires sont fermés.