• About
  • Advertise
  • Privacy & Policy
  • Contact
Tech News, Magazine & Review WordPress Theme 2017
  • ACCUEIL
  • TECHNOLOGIES
    Score Consulting rejoint le groupe de conseil et de technologie Conclusion

    Score Consulting rejoint le groupe de conseil et de technologie Conclusion

    Horizon Technology Finance accorde un prêt à capital-risque de 40 millions de dollars à Elligo Health Research

    Marvell Technology, Inc. (NASDAQ : MRVL) Les avoirs sont réduits par le système de retraite des enseignants du Texas

    Marvell Technology, Inc. (NASDAQ : MRVL) Les avoirs sont réduits par le système de retraite des enseignants du Texas

    La semaine de la technologie, du 2 au 6 octobre 2023

    La semaine de la technologie, du 2 au 6 octobre 2023

    Israël envisage la technologie blockchain pour réorganiser le secteur immobilier – Cryptopolitan

    Israël envisage la technologie blockchain pour réorganiser le secteur immobilier – Cryptopolitan

    Ford va utiliser la technologie des batteries chinoises, GM veut qu’elle soit bloquée – MishTalk

    Ford va utiliser la technologie des batteries chinoises, GM veut qu’elle soit bloquée – MishTalk

  • PORTRAIT
    Le photographe Sacha Stejko remporte des prix prestigieux avec une série de portraits – Campaign Brief NZ

    Le photographe Sacha Stejko remporte des prix prestigieux avec une série de portraits – Campaign Brief NZ

    Les voix et les votes des femmes occupent une place importante alors que le pape ouvre la réunion du Vatican sur l’avenir de l’Église

    Les voix et les votes des femmes occupent une place importante alors que le pape ouvre la réunion du Vatican sur l’avenir de l’Église

    Face-à-face portrait entre iPhone 15 Pro Max et Galaxy S23 Ultra : quel téléphone gagne ?

    Face-à-face portrait entre iPhone 15 Pro Max et Galaxy S23 Ultra : quel téléphone gagne ?

    Comment utiliser le portrait d’un garçon dans Lies Of P

    Comment utiliser le portrait d’un garçon dans Lies Of P

    2,5 étoiles pour le film, “I Killed Bapu” dresse un portrait nuancé d’un homme qui se situe à cheval sur la frontière entre héros et méchant

    2,5 étoiles pour le film, “I Killed Bapu” dresse un portrait nuancé d’un homme qui se situe à cheval sur la frontière entre héros et méchant

    Pourquoi l’iPhone a-t-il autant de succès ?  C’est simple

    Pourquoi l’iPhone a-t-il autant de succès ? C’est simple

  • JEUX
    Test FC 24 : Pourquoi devriez-vous acheter le nouveau jeu vidéo de football d’EA Sports

    Test FC 24 : Pourquoi devriez-vous acheter le nouveau jeu vidéo de football d’EA Sports

    L’équipe d’esports de Taiwan remporte la médaille de bronze lors de l’événement PUBG Mobile

    L’équipe d’esports de Taiwan remporte la médaille de bronze lors de l’événement PUBG Mobile

    Revue du jeu vidéo : Disgaea 7 : Vœux des sans-vertu

    Revue du jeu vidéo : Disgaea 7 : Vœux des sans-vertu

    25 meilleures extensions DLC de jeux vidéo, classées

    25 meilleures extensions DLC de jeux vidéo, classées

    C’est parti !  Les 10 principales tendances du jeu vidéo en 2024

    C’est parti ! Les 10 principales tendances du jeu vidéo en 2024

    72,5 % des grands studios de jeux vidéo adoptent le jeu Web3

    72,5 % des grands studios de jeux vidéo adoptent le jeu Web3

  • TUTORIELS
    • All
    • HTML5 / CSS3
    • PHP / MySql
    • Python
    Producteur numérique – Conseils aux consommateurs chez US News & World Report

    Producteur numérique – Conseils aux consommateurs chez US News & World Report

    Thème réactif WordPress WooCommerce pour pharmacie

    Thème réactif WordPress WooCommerce pour pharmacie

    Développeur logiciel (développeur C#.NET) chez Ntice Search

    Développeur logiciel (développeur C#.NET) chez Ntice Search

    Vulnérabilité du plugin WordPress Metform Elementor Contact Form Builder

    Vulnérabilité du plugin WordPress Metform Elementor Contact Form Builder

    EvnTalk – Thème WordPress pour conférence événementielle

    EvnTalk – Thème WordPress pour conférence événementielle

    10 langues à apprendre pour le développement de sites Web

    10 langues à apprendre pour le développement de sites Web

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • MOBILES
    Les Américains dépensent toujours comme s’il n’y avait pas de lendemain

    Les Américains dépensent toujours comme s’il n’y avait pas de lendemain

    Deux femmes mettent en scène un drame d’accident et s’échappent avec le téléphone portable du conducteur

    Deux femmes mettent en scène un drame d’accident et s’échappent avec le téléphone portable du conducteur

    UN INNOVATEUR DE VACCINS DU DAKOTA DU SUD UTILISANT UNE TECHNOLOGIE DE PLATE-FORME APPROUVÉE PAR L’USDA POUR DÉVELOPPER DES OPTIONS DE VACCINS NÉCESSAIRES D’URGENCE POUR L’INDUSTRIE DE LA VOLAILLE

    Le marché des modules de caméra pour téléphones mobiles devrait croître à un rythme beaucoup plus rapide au cours des années à venir 2023-2029

    Une société de téléphonie mobile fait appel du refus du conseil de Sheffield concernant le mât téléphonique 5G

    Une société de téléphonie mobile fait appel du refus du conseil de Sheffield concernant le mât téléphonique 5G

    Dish hanté par le fondateur de Boost Mobile dans la guerre des téléphones prépayés

    Dish hanté par le fondateur de Boost Mobile dans la guerre des téléphones prépayés

    Pourquoi de nombreuses personnes dans le Missouri éteignent leur téléphone portable le 4 octobre

    Pourquoi de nombreuses personnes dans le Missouri éteignent leur téléphone portable le 4 octobre

  • CONTACT
No Result
View All Result
  • ACCUEIL
  • TECHNOLOGIES
    Score Consulting rejoint le groupe de conseil et de technologie Conclusion

    Score Consulting rejoint le groupe de conseil et de technologie Conclusion

    Horizon Technology Finance accorde un prêt à capital-risque de 40 millions de dollars à Elligo Health Research

    Marvell Technology, Inc. (NASDAQ : MRVL) Les avoirs sont réduits par le système de retraite des enseignants du Texas

    Marvell Technology, Inc. (NASDAQ : MRVL) Les avoirs sont réduits par le système de retraite des enseignants du Texas

    La semaine de la technologie, du 2 au 6 octobre 2023

    La semaine de la technologie, du 2 au 6 octobre 2023

    Israël envisage la technologie blockchain pour réorganiser le secteur immobilier – Cryptopolitan

    Israël envisage la technologie blockchain pour réorganiser le secteur immobilier – Cryptopolitan

    Ford va utiliser la technologie des batteries chinoises, GM veut qu’elle soit bloquée – MishTalk

    Ford va utiliser la technologie des batteries chinoises, GM veut qu’elle soit bloquée – MishTalk

  • PORTRAIT
    Le photographe Sacha Stejko remporte des prix prestigieux avec une série de portraits – Campaign Brief NZ

    Le photographe Sacha Stejko remporte des prix prestigieux avec une série de portraits – Campaign Brief NZ

    Les voix et les votes des femmes occupent une place importante alors que le pape ouvre la réunion du Vatican sur l’avenir de l’Église

    Les voix et les votes des femmes occupent une place importante alors que le pape ouvre la réunion du Vatican sur l’avenir de l’Église

    Face-à-face portrait entre iPhone 15 Pro Max et Galaxy S23 Ultra : quel téléphone gagne ?

    Face-à-face portrait entre iPhone 15 Pro Max et Galaxy S23 Ultra : quel téléphone gagne ?

    Comment utiliser le portrait d’un garçon dans Lies Of P

    Comment utiliser le portrait d’un garçon dans Lies Of P

    2,5 étoiles pour le film, “I Killed Bapu” dresse un portrait nuancé d’un homme qui se situe à cheval sur la frontière entre héros et méchant

    2,5 étoiles pour le film, “I Killed Bapu” dresse un portrait nuancé d’un homme qui se situe à cheval sur la frontière entre héros et méchant

    Pourquoi l’iPhone a-t-il autant de succès ?  C’est simple

    Pourquoi l’iPhone a-t-il autant de succès ? C’est simple

  • JEUX
    Test FC 24 : Pourquoi devriez-vous acheter le nouveau jeu vidéo de football d’EA Sports

    Test FC 24 : Pourquoi devriez-vous acheter le nouveau jeu vidéo de football d’EA Sports

    L’équipe d’esports de Taiwan remporte la médaille de bronze lors de l’événement PUBG Mobile

    L’équipe d’esports de Taiwan remporte la médaille de bronze lors de l’événement PUBG Mobile

    Revue du jeu vidéo : Disgaea 7 : Vœux des sans-vertu

    Revue du jeu vidéo : Disgaea 7 : Vœux des sans-vertu

    25 meilleures extensions DLC de jeux vidéo, classées

    25 meilleures extensions DLC de jeux vidéo, classées

    C’est parti !  Les 10 principales tendances du jeu vidéo en 2024

    C’est parti ! Les 10 principales tendances du jeu vidéo en 2024

    72,5 % des grands studios de jeux vidéo adoptent le jeu Web3

    72,5 % des grands studios de jeux vidéo adoptent le jeu Web3

  • TUTORIELS
    • All
    • HTML5 / CSS3
    • PHP / MySql
    • Python
    Producteur numérique – Conseils aux consommateurs chez US News & World Report

    Producteur numérique – Conseils aux consommateurs chez US News & World Report

    Thème réactif WordPress WooCommerce pour pharmacie

    Thème réactif WordPress WooCommerce pour pharmacie

    Développeur logiciel (développeur C#.NET) chez Ntice Search

    Développeur logiciel (développeur C#.NET) chez Ntice Search

    Vulnérabilité du plugin WordPress Metform Elementor Contact Form Builder

    Vulnérabilité du plugin WordPress Metform Elementor Contact Form Builder

    EvnTalk – Thème WordPress pour conférence événementielle

    EvnTalk – Thème WordPress pour conférence événementielle

    10 langues à apprendre pour le développement de sites Web

    10 langues à apprendre pour le développement de sites Web

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • MOBILES
    Les Américains dépensent toujours comme s’il n’y avait pas de lendemain

    Les Américains dépensent toujours comme s’il n’y avait pas de lendemain

    Deux femmes mettent en scène un drame d’accident et s’échappent avec le téléphone portable du conducteur

    Deux femmes mettent en scène un drame d’accident et s’échappent avec le téléphone portable du conducteur

    UN INNOVATEUR DE VACCINS DU DAKOTA DU SUD UTILISANT UNE TECHNOLOGIE DE PLATE-FORME APPROUVÉE PAR L’USDA POUR DÉVELOPPER DES OPTIONS DE VACCINS NÉCESSAIRES D’URGENCE POUR L’INDUSTRIE DE LA VOLAILLE

    Le marché des modules de caméra pour téléphones mobiles devrait croître à un rythme beaucoup plus rapide au cours des années à venir 2023-2029

    Une société de téléphonie mobile fait appel du refus du conseil de Sheffield concernant le mât téléphonique 5G

    Une société de téléphonie mobile fait appel du refus du conseil de Sheffield concernant le mât téléphonique 5G

    Dish hanté par le fondateur de Boost Mobile dans la guerre des téléphones prépayés

    Dish hanté par le fondateur de Boost Mobile dans la guerre des téléphones prépayés

    Pourquoi de nombreuses personnes dans le Missouri éteignent leur téléphone portable le 4 octobre

    Pourquoi de nombreuses personnes dans le Missouri éteignent leur téléphone portable le 4 octobre

  • CONTACT
No Result
View All Result
Technique de pointe
No Result
View All Result
Home Générale

La vulnérabilité WordPress de Loginizer affecte +1 million de sites

Caleb by Caleb
juin 5, 2021
148
La vulnérabilité WordPress de Loginizer affecte +1 million de sites
Share on FacebookShare on Twitter


WordPress Loginizer Plugin a publié un correctif de sécurité pour une vulnérabilité qui pourrait permettre à un pirate de modifier une base de données via un Injection SQL non authentifiée exploit.

Ce type d’exploit, également connu sous le nom d’injection SQL aveugle, repose sur la saisie de données dans une entrée afin de déclencher une réponse d’erreur. Dans ce cas, l’entrée est un nom d’utilisateur.

Le plugin WordPress Loginizer n’avait pas de moyen de désinfecter l’entrée, ce qui signifie qu’il n’avait pas de moyen de compenser une entrée erronée. Cela a amené le plugin à créer une situation d’erreur.

Selon la description WPScan de l’exploit Loginizer:

Publicité

Continuer la lecture ci-dessous

« La vulnérabilité a été déclenchée dans le cadre de la fonctionnalité de protection contre la force brute, qui était activée par défaut lors de la première installation du plug-in. Lorsqu’un utilisateur tente de se connecter avec un nom d’utilisateur inconnu, la tentative est enregistrée dans la base de données principale, où le nom d’utilisateur, ainsi que d’autres paramètres, ne sont pas correctement validés avant d’être placés dans la requête SQL.

Le chercheur en sécurité qui a découvert la vulnérabilité a publié un Procédure pas à pas de l’exploit Loginizer, montrant comment une réponse d’erreur peut être utilisée pour atteindre les zones du plugin qui se rapportent à sa fonctionnalité. C’est là que le hacker peut se voir vulnérable à une injection SQL.

Publicité

Continuer la lecture ci-dessous

Le chercheur l’a décrit ainsi :

… via la définition de la fonction, nous voyons comment le $username brut atteint la fonctionnalité du plugin… Dans cette fonction, il y a également des appels vers la base de données avec des paramètres de base de données non filtrés… et nous voyons les endroits vulnérables de SQLi en fonction des données de connexion de l’utilisateur.

La procédure pas à pas se poursuit avec la preuve de concept et conclut :

… Et c’est tout, plus que facile et détaillé sur SQLi + XSS via $ nom d’utilisateur.

Vulnérabilité XSS stockée

Le problème avec Loginizer ne se limite pas à la vulnérabilité d’injection SQL. Ce n’est pas qu’un problème, ce sont deux problèmes.

Le deuxième exploit est appelé une vulnérabilité Stored Cross Site Scripting (Stored XSS). Il s’agit d’une version particulièrement mauvaise d’une vulnérabilité XSS.

Avec ce type d’exploit, un pirate peut généralement injecter directement des fichiers malveillants, puis exploiter le site WordPress et/ou les utilisateurs. En général, un fichier malveillant peut être servi au navigateur des visiteurs du site.

Journal des modifications de connexion

Un journal des modifications est un journal de toutes les modifications qu’un développeur de logiciels apporte à un logiciel. Lorsque vous mettez à jour un plugin, WordPress vous donne la possibilité de cliquer et de voir une description de ces changements. Ces descriptions proviennent du changelog. Tous les développeurs de plugins WordPress ont un journal des modifications en cours d’exécution dans le référentiel de plugins WordPress et aussi souvent sur leur site Web.

Selon le fonctionnaire Journal des modifications de connexion, ce problème affecte les versions antérieures à la dernière, à savoir la version 1.6.4 de Loginizer.

Publicité

Continuer la lecture ci-dessous

Le journal des modifications du plugin Loginizer décrit les deux correctifs comme ceci :

“[Security Fix] : Un nom d’utilisateur correctement conçu utilisé pour se connecter peut entraîner une injection SQL. Cela a été corrigé en utilisant la fonction prepare en PHP qui prépare la requête SQL pour une exécution sûre.

[Security Fix] : Si l’en-tête HTTP IP a été modifié pour avoir un octet nul, cela pourrait conduire à un XSS stocké. Cela a été corrigé en désinfectant correctement l’en-tête HTTP IP avant de l’utiliser.

Loginizer doit être félicité pour avoir décrit le problème avec franchise dans son journal des modifications.

Capture d’écran du journal des modifications du plugin Loginizer

Capture d'écran du journal des modifications officiel du plugin Loginizer WordPress

Certains éditeurs de plugins essaient de cacher qu’une mise à jour est un correctif de sécurité en utilisant un jargon technique et en ne mentionnant pas qu’il existe un correctif de sécurité.

Publicité

Continuer la lecture ci-dessous

Être honnête sur le sujet de la mise à jour, comme le fait Loginizer, est le signe d’un bon développeur de plugins.

Mise à jour automatique de WordPress

WordPress a déclenché une mise à jour automatique forcée. La plupart des sites exécutant ce plugin, jusqu’à 89%, auraient dû avoir leur plugin mis à jour avec succès.

Il est fortement recommandé à tous les éditeurs WordPress qui utilisent le plugin de sécurité Loginizer de vérifier quelle version du plugin ils utilisent et de la mettre à jour immédiatement s’il ne l’a pas déjà fait.



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Recommended.

Tesla accepte d’arrêter de laisser les conducteurs jouer à des jeux vidéo dans des voitures en mouvement

Tesla accepte d’arrêter de laisser les conducteurs jouer à des jeux vidéo dans des voitures en mouvement

décembre 24, 2021
Les travailleurs de la technologie en Chine obtiennent des syndicats

Les travailleurs de la technologie en Chine obtiennent des syndicats

septembre 5, 2021

Subscribe.

Trending.

10 problèmes courants de l’iPhone 13 et comment les résoudre

10 problèmes courants de l’iPhone 13 et comment les résoudre

décembre 24, 2021
Comment créer une calculatrice simple à l’aide de HTML, CSS et JavaScript

Comment créer une calculatrice simple à l’aide de HTML, CSS et JavaScript

juin 19, 2022
Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

mai 15, 2022
Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

novembre 25, 2021
Avantages et inconvénients des concepteurs et créateurs de jeux vidéo

Avantages et inconvénients des concepteurs et créateurs de jeux vidéo

septembre 17, 2021
Technique de pointe

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Follow Us

Catégories

  • Générale
  • HTML5 / CSS3
  • JEUX VIDEO
  • MOBILES
  • PHP / MySql
  • portrait
  • PROGRAMMATION WEB
  • Python
  • TECHNOLOGIES

Étiquettes

actualité économique ailette AMERS ASIE ASXPAC BACT CMPNY Commerce courrier quotidien CYCS CYCS08 des sports Divertissement EMRG Entreprise GEN Google Inc. intelligence artificielle ITSE ITSE08 jeu vidéo jeux vidéo Kotaku l'informatique l'Internet La technologie Logiciel Microsoft mobile MTPIX NOM nous nouvelles politique portrait SOFW SWIT TECH08 technologie TMT TOPCMB TOPNWS Éducation économie

Recent News

Producteur numérique – Conseils aux consommateurs chez US News & World Report

Producteur numérique – Conseils aux consommateurs chez US News & World Report

octobre 3, 2023
Score Consulting rejoint le groupe de conseil et de technologie Conclusion

Score Consulting rejoint le groupe de conseil et de technologie Conclusion

octobre 3, 2023
  • About
  • Advertise
  • Privacy & Policy
  • Contact

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Accueil
  • TECHNOLOGIES
  • PORTRAIT
  • JEUX VIDEO
  • TUTORIELS
  • MOBILES
  • Nous Contacter

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
Sign In with Linked In
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist