• Accueil
  • Info
  • Publicité
  • Privacy & Policy
  • Nous Contacter
No Result
View All Result
Technique de pointe
  • Actualité
  • Technologies
  • Jeu vidéo
  • Mobile
  • Astuces
  • HTML5 / CSS
  • Java Script
  • PHP
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Nous Contacter
MYCAMER
  • Actualité
  • Mobile
  • Jeu vidéo
    Le sketch Mario SNL de Pedro Pascal est l’adaptation du jeu vidéo dont nous avons plus que jamais besoin

    Le sketch Mario SNL de Pedro Pascal est l’adaptation du jeu vidéo dont nous avons plus que jamais besoin

    Mario Kart Sketch de Pedro Pascal est votre nouvelle série préférée

    Mario Kart Sketch de Pedro Pascal est votre nouvelle série préférée

    Microsoft va ruiner Master Chief entre ‘Halo Infinite’ et Paramount si ce n’est pas prudent

    Microsoft va ruiner Master Chief entre ‘Halo Infinite’ et Paramount si ce n’est pas prudent

    Concentrez votre énergie : les stocks de jeux vidéo en 2023

    Concentrez votre énergie : les stocks de jeux vidéo en 2023

    Quelle est la durée idéale d’un jeu vidéo ?  –

    Quelle est la durée idéale d’un jeu vidéo ? –

    Une plateforme de jeu vidéo pour améliorer la fonction exécutive

    Une plateforme de jeu vidéo pour améliorer la fonction exécutive

    10 tropes de jeux vidéo qui n’ont aucun sens

    10 tropes de jeux vidéo qui n’ont aucun sens

    Dead Space Remake – Dans le vide (Chapitre 7)

    Dead Space Remake – Dans le vide (Chapitre 7)

    Sony brevète un « coach d’inventaire de jeux vidéo » pour aider les joueurs indécis dans la gestion des stocks

    Sony brevète un « coach d’inventaire de jeux vidéo » pour aider les joueurs indécis dans la gestion des stocks

  • Developpement web
    • All
    • Java Script
    • Language HTML5
    L’industrie écossaise du jeu vidéo renforce le potentiel des jeux

    Rencontrez les régulateurs : les normes de sécurité pour les enfants auront de nouveaux régulateurs à partir de 2023

    Wesfarmers supprime 100 emplois chez Catch

    Wesfarmers supprime 100 emplois chez Catch

    Arrêtez d’appeler les langages de programmation HTML et CSS |  de Christophe Lam |  L’Albatros FOSS |  février 2023

    Arrêtez d’appeler les langages de programmation HTML et CSS | de Christophe Lam | L’Albatros FOSS | février 2023

    Vous voulez devenir UI/UX Designer ?  Consulter la liste des stages

    Vous voulez devenir UI/UX Designer ? Consulter la liste des stages

    Techids : un événement inspirant pour les jeunes passionnés de technologie

    Techids : un événement inspirant pour les jeunes passionnés de technologie

    Un couple ouvre un centre d’apprentissage Code Wiz à FishHawk Ranch

    Un couple ouvre un centre d’apprentissage Code Wiz à FishHawk Ranch

    Codecademy élargit ses offres avec des fonctionnalités améliorées pour les demandeurs d’emploi, un nouveau produit pour les upskillers

    Codecademy élargit ses offres avec des fonctionnalités améliorées pour les demandeurs d’emploi, un nouveau produit pour les upskillers

    L’Etat demande au centre de livrer 14 bateaux agréés pour la sécurité côtière |  Nouvelles de Bombay

    L’Etat demande au centre de livrer 14 bateaux agréés pour la sécurité côtière | Nouvelles de Bombay

    Croissance des ventes au détail de 7,5 % en glissement annuel, le chiffre d’affaires ne parvient pas à suivre

    Croissance des ventes au détail de 7,5 % en glissement annuel, le chiffre d’affaires ne parvient pas à suivre

  • Astuces
    L’équipe de formation WordPress recherche des commentaires avec une enquête individuelle sur les apprenants – WP Tavern

    L’équipe de formation WordPress recherche des commentaires avec une enquête individuelle sur les apprenants – WP Tavern

    4 villes en plein essor en 2023 à considérer pour une vie abordable

    4 villes en plein essor en 2023 à considérer pour une vie abordable

    L’équipe de formation WordPress recherche des commentaires avec une enquête individuelle sur les apprenants – WP Tavern

    L’équipe de formation WordPress recherche des commentaires avec une enquête individuelle sur les apprenants – WP Tavern

    10 meilleurs sites Web GPL pour télécharger des plugins de thèmes GPL 2023

    10 meilleurs sites Web GPL pour télécharger des plugins de thèmes GPL 2023

    Ukraine à J+341 : Killnet frappe les hôpitaux américains.

    Ukraine à J+341 : Killnet frappe les hôpitaux américains.

    6 Best WordPress SEO Plugins for 2023

    6 Best WordPress SEO Plugins for 2023

    Amorcer un document Quarto {ojs} avec un bloc-notes observable

    WordPress Password Protection – A Complete Guide

    La vulnérabilité du plugin anti-spam WordPress affecte jusqu’à 60 000 sites

    La vulnérabilité du plugin anti-spam WordPress affecte jusqu’à 60 000 sites

    Comment déployer facilement une application full-stack dans Portainer avec des templates

    Comment déployer facilement une application full-stack dans Portainer avec des templates

  • Nous contacter
No Result
View All Result
MYCAMER
No Result
View All Result
Home Astuces

La vulnérabilité WordPress de Loginizer affecte +1 million de sites

Caleb by Caleb
juin 5, 2021
in Astuces
0
0
La vulnérabilité WordPress de Loginizer affecte +1 million de sites
334
SHARES
2k
VIEWS
Share on FacebookShare on TwitterRedditLinkedinWhatsappTelegram


WordPress Loginizer Plugin a publié un correctif de sécurité pour une vulnérabilité qui pourrait permettre à un pirate de modifier une base de données via un Injection SQL non authentifiée exploit.

Ce type d’exploit, également connu sous le nom d’injection SQL aveugle, repose sur la saisie de données dans une entrée afin de déclencher une réponse d’erreur. Dans ce cas, l’entrée est un nom d’utilisateur.

Le plugin WordPress Loginizer n’avait pas de moyen de désinfecter l’entrée, ce qui signifie qu’il n’avait pas de moyen de compenser une entrée erronée. Cela a amené le plugin à créer une situation d’erreur.

Selon la description WPScan de l’exploit Loginizer:

Publicité

Continuer la lecture ci-dessous

« La vulnérabilité a été déclenchée dans le cadre de la fonctionnalité de protection contre la force brute, qui était activée par défaut lors de la première installation du plug-in. Lorsqu’un utilisateur tente de se connecter avec un nom d’utilisateur inconnu, la tentative est enregistrée dans la base de données principale, où le nom d’utilisateur, ainsi que d’autres paramètres, ne sont pas correctement validés avant d’être placés dans la requête SQL.

Le chercheur en sécurité qui a découvert la vulnérabilité a publié un Procédure pas à pas de l’exploit Loginizer, montrant comment une réponse d’erreur peut être utilisée pour atteindre les zones du plugin qui se rapportent à sa fonctionnalité. C’est là que le hacker peut se voir vulnérable à une injection SQL.

Publicité

Continuer la lecture ci-dessous

Le chercheur l’a décrit ainsi :

… via la définition de la fonction, nous voyons comment le $username brut atteint la fonctionnalité du plugin… Dans cette fonction, il y a également des appels vers la base de données avec des paramètres de base de données non filtrés… et nous voyons les endroits vulnérables de SQLi en fonction des données de connexion de l’utilisateur.

La procédure pas à pas se poursuit avec la preuve de concept et conclut :

… Et c’est tout, plus que facile et détaillé sur SQLi + XSS via $ nom d’utilisateur.

Vulnérabilité XSS stockée

Le problème avec Loginizer ne se limite pas à la vulnérabilité d’injection SQL. Ce n’est pas qu’un problème, ce sont deux problèmes.

Le deuxième exploit est appelé une vulnérabilité Stored Cross Site Scripting (Stored XSS). Il s’agit d’une version particulièrement mauvaise d’une vulnérabilité XSS.

Avec ce type d’exploit, un pirate peut généralement injecter directement des fichiers malveillants, puis exploiter le site WordPress et/ou les utilisateurs. En général, un fichier malveillant peut être servi au navigateur des visiteurs du site.

Journal des modifications de connexion

Un journal des modifications est un journal de toutes les modifications qu’un développeur de logiciels apporte à un logiciel. Lorsque vous mettez à jour un plugin, WordPress vous donne la possibilité de cliquer et de voir une description de ces changements. Ces descriptions proviennent du changelog. Tous les développeurs de plugins WordPress ont un journal des modifications en cours d’exécution dans le référentiel de plugins WordPress et aussi souvent sur leur site Web.

Selon le fonctionnaire Journal des modifications de connexion, ce problème affecte les versions antérieures à la dernière, à savoir la version 1.6.4 de Loginizer.

Publicité

Continuer la lecture ci-dessous

Le journal des modifications du plugin Loginizer décrit les deux correctifs comme ceci :

“[Security Fix] : Un nom d’utilisateur correctement conçu utilisé pour se connecter peut entraîner une injection SQL. Cela a été corrigé en utilisant la fonction prepare en PHP qui prépare la requête SQL pour une exécution sûre.

[Security Fix] : Si l’en-tête HTTP IP a été modifié pour avoir un octet nul, cela pourrait conduire à un XSS stocké. Cela a été corrigé en désinfectant correctement l’en-tête HTTP IP avant de l’utiliser.

Loginizer doit être félicité pour avoir décrit le problème avec franchise dans son journal des modifications.

Capture d’écran du journal des modifications du plugin Loginizer

Capture d'écran du journal des modifications officiel du plugin Loginizer WordPress

Certains éditeurs de plugins essaient de cacher qu’une mise à jour est un correctif de sécurité en utilisant un jargon technique et en ne mentionnant pas qu’il existe un correctif de sécurité.

Publicité

Continuer la lecture ci-dessous

Être honnête sur le sujet de la mise à jour, comme le fait Loginizer, est le signe d’un bon développeur de plugins.

Mise à jour automatique de WordPress

WordPress a déclenché une mise à jour automatique forcée. La plupart des sites exécutant ce plugin, jusqu’à 89%, auraient dû avoir leur plugin mis à jour avec succès.

Il est fortement recommandé à tous les éditeurs WordPress qui utilisent le plugin de sécurité Loginizer de vérifier quelle version du plugin ils utilisent et de la mettre à jour immédiatement s’il ne l’a pas déjà fait.



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Stay Connected

  • 87k Followers
  • 172k Subscribers

Articles populaires

  • 10 problèmes courants de l’iPhone 13 et comment les résoudre

    10 problèmes courants de l’iPhone 13 et comment les résoudre

    5605 shares
    Share 2242 Tweet 1401
  • Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

    1706 shares
    Share 682 Tweet 427
  • GOLDEN FARM BIZ: earn unlimited money online

    347 shares
    Share 139 Tweet 87
  • Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

    514 shares
    Share 206 Tweet 129
  • Comment réparer le décalage d’Instagram sur iPhone et Android

    712 shares
    Share 285 Tweet 178

Follow Our Page

Follow Us

    Go to the Customizer > JNews : Social, Like & View > Instagram Feed Setting, to connect your Instagram account.
Facebook Twitter Youtube Vimeo Instagram

Informer et distraire les internautes en toute indépendance avec un grand souci de la qualité et de contenu.

Category

  • Actualité
  • Article Sponsorisé
  • Astuces
  • Developpement web
  • Featured
  • Java Script
  • Jeu vidéo
  • Language HTML5
  • Mobile
  • portrait
  • Technologies
  • Uncategorized

Recent News

Exposition I Dream a World de la National Portrait Gallery

février 6, 2023
L’industrie écossaise du jeu vidéo renforce le potentiel des jeux

Rencontrez les régulateurs : les normes de sécurité pour les enfants auront de nouveaux régulateurs à partir de 2023

février 6, 2023

© 2023 mycamer.net - Technologies de pointe & magazine Hébergé par World-reseller.com.

No Result
View All Result
  • Actualité
  • Mobile
  • Jeu vidéo
  • Developpement web
  • Astuces
  • Nous contacter

© 2023 mycamer.net - Technologies de pointe & magazine Hébergé par World-reseller.com.

Welcome Back!

Sign In with Facebook
Sign In with Google
Sign In with Linked In
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
fr French
ar Arabiczh-CN Chinese (Simplified)en Englishfr Frenchde Germanit Italianru Russianes Spanish

Add New Playlist

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.