• Accueil
  • Info
  • Publicité
  • Privacy & Policy
  • Nous Contacter
No Result
View All Result
Technique de pointe
  • Actualité
  • Technologies
  • Jeu vidéo
  • Mobile
  • Astuces
  • HTML5 / CSS
  • Java Script
  • PHP
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Nous Contacter
MYCAMER
  • Actualité
  • Mobile
  • Jeu vidéo
    Le jeu de société interdit par la reine, ainsi que les jeux vidéo préférés de la famille royale révélés |  Jeux |  Divertissement

    Le jeu de société interdit par la reine, ainsi que les jeux vidéo préférés de la famille royale révélés | Jeux | Divertissement

    Un homme jouant à un jeu vidéo se fait mordre le cul par un python alors qu’il fait une décharge en Malaisie

    Un homme jouant à un jeu vidéo se fait mordre le cul par un python alors qu’il fait une décharge en Malaisie

    Le jeu vidéo Call of Duty: Modern Warfare 2 obtient une date de sortie

    Le jeu vidéo Call of Duty: Modern Warfare 2 obtient une date de sortie

    La semaine de la ville du jeu vidéo : les arcades de Yakuza sont propres, étrangement studieuses et un délice

    La semaine de la ville du jeu vidéo : les arcades de Yakuza sont propres, étrangement studieuses et un délice

    Les employés d’Activision voteront pour le syndicat

    Les employés d’Activision voteront pour le syndicat

    Top 5 des meilleurs jeux vidéo PC en Inde mis à jour

    Top 5 des meilleurs jeux vidéo PC en Inde mis à jour

    16 meilleures offres: jeux vidéo, équipement de plein air et technologie

    16 meilleures offres: jeux vidéo, équipement de plein air et technologie

    Le jeu – 8 conseils pour les survivants

    Le jeu – 8 conseils pour les survivants

    Meilleures actions de jeux vidéo à acheter en mai

    Meilleures actions de jeux vidéo à acheter en mai

  • Developpement web
    • All
    • Language HTML5
    Le bouton d’envoi des formulaires ne fonctionne pas ?  – HTML & CSS – Forums SitePoint

    Comment positionner un pseudo-élément pour souligner du texte – HTML & CSS – SitePoint Forums

    Agents Do Charity – voyageant très loin…

    Agents Do Charity – voyageant très loin…

    Un cabinet d’avocats franchira la barre des 100 millions de livres sterling avec le dernier accord

    Un cabinet d’avocats franchira la barre des 100 millions de livres sterling avec le dernier accord

    ATHENA GOLD CORPORATION acquiert un prospect de cuivre porphyrique, d’or et de molybdène dans le district de Crow Springs, dans le comté d’Esmeralda, au Nevada

    ATHENA GOLD CORPORATION acquiert un prospect de cuivre porphyrique, d’or et de molybdène dans le district de Crow Springs, dans le comté d’Esmeralda, au Nevada

    Chargé de cours en UI et UX Design à l’UNIVERSITY OF GREENWICH

    Chargé de cours en UI et UX Design à l’UNIVERSITY OF GREENWICH

    Revue Figma |  Bloc créatif

    Revue Figma | Bloc créatif

    Commerce de détail omnicanal – La combinaison parfaite pour le commerce de détail

    Commerce de détail omnicanal – La combinaison parfaite pour le commerce de détail

    ALE : Accord de libre-échange entre l’Inde et l’Australie : pourquoi l’ALE est différent, sans précédent

    ALE : Accord de libre-échange entre l’Inde et l’Australie : pourquoi l’ALE est différent, sans précédent

    Apprenez JavaScript sans expérience de codage pour seulement 40 $

    Apprenez JavaScript sans expérience de codage pour seulement 40 $

  • Astuces
    WordPress 6.0 propose de nombreuses améliorations d’accessibilité

    WordPress 6.0 propose de nombreuses améliorations d’accessibilité

    Comment supprimer un compte WordPress 2022 Astuce

    Comment supprimer un compte WordPress 2022 Astuce

    Comment utiliser WordPress : un guide pour les débutants

    Comment utiliser WordPress : un guide pour les débutants

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    WordPress.com Review 2022: Features, Pricing & More

    Comment installer WordPress sur le serveur Ubuntu 22.04 LTS

    Comment installer WordPress sur le serveur Ubuntu 22.04 LTS

    Jacob Nicotra, fondateur et PDG de Jacob Nicotra Web Development, a été présenté dans le magazine Authority

    Jacob Nicotra, fondateur et PDG de Jacob Nicotra Web Development, a été présenté dans le magazine Authority

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    Which is Better in 2022?

    Set Up Your Store in 7 Steps

    Set Up Your Store in 7 Steps

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    SiteGround Review 2022 : fonctionnalités, prix et plus

  • Nous contacter
No Result
View All Result
MYCAMER
No Result
View All Result
Home Astuces

La vulnérabilité WordPress de Loginizer affecte +1 million de sites

Caleb by Caleb
juin 5, 2021
in Astuces
0 0
0
La vulnérabilité WordPress de Loginizer affecte +1 million de sites
334
SHARES
2k
VIEWS
Share on FacebookShare on TwitterRedditLinkedin


WordPress Loginizer Plugin a publié un correctif de sécurité pour une vulnérabilité qui pourrait permettre à un pirate de modifier une base de données via un Injection SQL non authentifiée exploit.

Ce type d’exploit, également connu sous le nom d’injection SQL aveugle, repose sur la saisie de données dans une entrée afin de déclencher une réponse d’erreur. Dans ce cas, l’entrée est un nom d’utilisateur.

Le plugin WordPress Loginizer n’avait pas de moyen de désinfecter l’entrée, ce qui signifie qu’il n’avait pas de moyen de compenser une entrée erronée. Cela a amené le plugin à créer une situation d’erreur.

Selon la description WPScan de l’exploit Loginizer:

Publicité

Continuer la lecture ci-dessous

« La vulnérabilité a été déclenchée dans le cadre de la fonctionnalité de protection contre la force brute, qui était activée par défaut lors de la première installation du plug-in. Lorsqu’un utilisateur tente de se connecter avec un nom d’utilisateur inconnu, la tentative est enregistrée dans la base de données principale, où le nom d’utilisateur, ainsi que d’autres paramètres, ne sont pas correctement validés avant d’être placés dans la requête SQL.

Le chercheur en sécurité qui a découvert la vulnérabilité a publié un Procédure pas à pas de l’exploit Loginizer, montrant comment une réponse d’erreur peut être utilisée pour atteindre les zones du plugin qui se rapportent à sa fonctionnalité. C’est là que le hacker peut se voir vulnérable à une injection SQL.

Publicité

Example of the Title

Example description. Lorem Ipsum is simply dummy text of the printing and type..

Continuer la lecture ci-dessous

Le chercheur l’a décrit ainsi :

… via la définition de la fonction, nous voyons comment le $username brut atteint la fonctionnalité du plugin… Dans cette fonction, il y a également des appels vers la base de données avec des paramètres de base de données non filtrés… et nous voyons les endroits vulnérables de SQLi en fonction des données de connexion de l’utilisateur.

La procédure pas à pas se poursuit avec la preuve de concept et conclut :

… Et c’est tout, plus que facile et détaillé sur SQLi + XSS via $ nom d’utilisateur.

Vulnérabilité XSS stockée

Le problème avec Loginizer ne se limite pas à la vulnérabilité d’injection SQL. Ce n’est pas qu’un problème, ce sont deux problèmes.

Le deuxième exploit est appelé une vulnérabilité Stored Cross Site Scripting (Stored XSS). Il s’agit d’une version particulièrement mauvaise d’une vulnérabilité XSS.

Avec ce type d’exploit, un pirate peut généralement injecter directement des fichiers malveillants, puis exploiter le site WordPress et/ou les utilisateurs. En général, un fichier malveillant peut être servi au navigateur des visiteurs du site.

Journal des modifications de connexion

Un journal des modifications est un journal de toutes les modifications qu’un développeur de logiciels apporte à un logiciel. Lorsque vous mettez à jour un plugin, WordPress vous donne la possibilité de cliquer et de voir une description de ces changements. Ces descriptions proviennent du changelog. Tous les développeurs de plugins WordPress ont un journal des modifications en cours d’exécution dans le référentiel de plugins WordPress et aussi souvent sur leur site Web.

Selon le fonctionnaire Journal des modifications de connexion, ce problème affecte les versions antérieures à la dernière, à savoir la version 1.6.4 de Loginizer.

Publicité

Continuer la lecture ci-dessous

Le journal des modifications du plugin Loginizer décrit les deux correctifs comme ceci :

“[Security Fix] : Un nom d’utilisateur correctement conçu utilisé pour se connecter peut entraîner une injection SQL. Cela a été corrigé en utilisant la fonction prepare en PHP qui prépare la requête SQL pour une exécution sûre.

[Security Fix] : Si l’en-tête HTTP IP a été modifié pour avoir un octet nul, cela pourrait conduire à un XSS stocké. Cela a été corrigé en désinfectant correctement l’en-tête HTTP IP avant de l’utiliser.

Loginizer doit être félicité pour avoir décrit le problème avec franchise dans son journal des modifications.

Capture d’écran du journal des modifications du plugin Loginizer

Capture d'écran du journal des modifications officiel du plugin Loginizer WordPress

Certains éditeurs de plugins essaient de cacher qu’une mise à jour est un correctif de sécurité en utilisant un jargon technique et en ne mentionnant pas qu’il existe un correctif de sécurité.

Publicité

Continuer la lecture ci-dessous

Être honnête sur le sujet de la mise à jour, comme le fait Loginizer, est le signe d’un bon développeur de plugins.

Mise à jour automatique de WordPress

WordPress a déclenché une mise à jour automatique forcée. La plupart des sites exécutant ce plugin, jusqu’à 89%, auraient dû avoir leur plugin mis à jour avec succès.

Il est fortement recommandé à tous les éditeurs WordPress qui utilisent le plugin de sécurité Loginizer de vérifier quelle version du plugin ils utilisent et de la mettre à jour immédiatement s’il ne l’a pas déjà fait.



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Stay Connected

  • 82.7k Followers
  • 113k Subscribers

Articles populaires

  • 10 problèmes courants de l’iPhone 13 et comment les résoudre

    10 problèmes courants de l’iPhone 13 et comment les résoudre

    3585 shares
    Share 1434 Tweet 896
  • Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

    905 shares
    Share 362 Tweet 226
  • Battle.net s’est remis d’une attaque DDoS, selon Blizzard

    497 shares
    Share 199 Tweet 124
  • 2 façons d’installer le serveur LAMP sur Ubuntu 22.04 | 20.04

    404 shares
    Share 162 Tweet 101
  • Marché des machines endormies – Les principaux géants de la technologie sont à nouveau en vogue – Cleveland Sports Zone

    343 shares
    Share 137 Tweet 86

Follow Our Page

Ajouter votre lien ici

Example of the Title

Follow Us

    Go to the Customizer > JNews : Social, Like & View > Instagram Feed Setting, to connect your Instagram account.
Facebook Twitter Youtube Vimeo Instagram

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Category

  • Actualité
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Language HTML5
  • Mobile
  • portrait
  • Technologies

Recent News

L’UNC lance un nouveau centre sur la politique technologique

L’UNC lance un nouveau centre sur la politique technologique

mai 27, 2022
Le bouton d’envoi des formulaires ne fonctionne pas ?  – HTML & CSS – Forums SitePoint

Comment positionner un pseudo-élément pour souligner du texte – HTML & CSS – SitePoint Forums

mai 27, 2022

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Actualité
  • Mobile
  • Jeu vidéo
  • Developpement web
  • Astuces
  • Nous contacter

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
fr French
ar Arabiczh-CN Chinese (Simplified)en Englishfr Frenchde Germanit Italianru Russianes Spanish

Add New Playlist

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.