Informe de vulnerabilidad de WordPress: septiembre de 2021, Parte 5

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Siendo uno de los mayores informes de vulnerabilidad de WordPress hasta ahora, comparta esta publicación con sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 29 de septiembre de 2021
¿Quiere este informe entregado en la casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Vulnerabilidades básicas de WordPress
Se han revelado y remediado varios problemas de seguridad básicos de WordPress. WordPress 5.8.1 se ha lanzado como una versión de seguridad y mantenimiento. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades de complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión si se corrige el grado de gravedad.
1. Comentarios – WPDISCUZ

Plugin: Comentarios – Vulnerabilidad de WPDiscuz: Administración + almacenamiento entre sitios parchados en la versión: 7.3.2 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.3.2.2. Generador de páginas
Plugin: Generador de páginas de vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.5.9 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.9.
3. WordPress a Hootsuite
Plugin: WordPress a Hootsuite Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.3.9 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.9.
4. WordPress a buffer
Plugin: WordPress en vulnerabilidad del búfer: Escrituras entre sitios reflejados parcheados en la versión: 3.7.5 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.7.5.
5. Bloque de visor PDF Gutenberg
Plugin: Gutenberg PDF Viewer Block Vulnerabilidad: contribuyente + Escrituras entre sitios almacenados parcheados en: 1.0.1 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.1.
6. Finalización para el producto y complemento de WooCommerce: suplementos de productos y vulnerabilidad de WooCommerce: inclusión de archivos locales autenticado en la versión: 2.1.0 Puntuación de gravedad: Medium
Esta vulnerabilidad fue reparada, pero el complemento estaba cerrado. Debe encontrar un reemplazo lo antes posible.
Complemento: suplementos de productos y vulnerabilidad de WooCommerce: Escrituras entre sitios reflejados parcheados en: 2.1.0 Puntuación de gravedad: alto
Esta vulnerabilidad fue reparada, pero el complemento estaba cerrado. Debe encontrar un reemplazo lo antes posible. Subir Subir
Plugin: en la vulnerabilidad superior: modificación de la configuración del complemento parchado no autorizado en la versión: 2.3 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.

7. Mejorar el encabezado
Plugin: Mejore el encabezado de vulnerabilidad: Cambiar la configuración del complemento no autorizado en la versión: 1.5 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.

8. Generar el tema del niño
Plugin: Genere un tema para niños Vulnerabilidad: Modificación de la configuración del complemento no autorizado en la versión: 1.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.

9. Tipos esenciales de contenido
Plugin: Tipos esenciales de contenido de vulnerabilidad: Cambio de configuración del complemento no autorizado en la versión: 1.9 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.

9. Coge herramientas web
Plugin: Catch Web Instruments Vulnerabilidad: Cambio de configuración del complemento no autorizado en la versión: 2.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.7.

10. widgets esenciales
Plugin: Licencias de software Vulnerabilidad del administrador: Cambio de configuración del complemento no autorizado en la versión: 1.9 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.

11. Captura en la construcción
Plugin: Captura en la vulnerabilidad de la construcción: modificación de la configuración del complemento no autorizada en la versión: 1.4 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 1.4.
12. Atrapa la demostración de importación de temas

Plugin: Captura Temas de importación Vulnerabilidad de demostración: Modificación de la configuración del complemento no autorizado en la versión: 1.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.
13. Menú del complemento de agarre: Groad Vulnerabilidad del menú pegajoso: modificación de la configuración del complemento no autorizado en la versión: 1.7 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.
14. Catch Scroll Progress Bar Plugin: Catch Scroll Progress Bar Vulnerabilidad: Cambiar la configuración del complemento no autorizado en la versión: 1.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.
15. Galería social y widget
Plugin: Galería social y vulnerabilidad de widgets: Cambio de configuración del complemento no autorizado en la versión: 2.3 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.
16. Catch Infinite Parade

Plugin: Catch Infinite Vulnerability Parade: Cambio de configuración del complemento no autorizado en la versión: 1.9 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.
17. Captura del complemento de exportación de importación: Captura de vulnerabilidad de exportación de importación: modificación de la configuración del complemento no autorizado en la versión: 1.9 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.18. Galería de captura
Plugin: Galería de captura de vulnerabilidad: Cambio de configuración del complemento no autorizado en la versión: 1.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.
19. Duplicado del conmutador de captura
Complemento: captura de vulnerabilidad del conmutador duplicador: modificación de la configuración del complemento no autorizado en la versión: 1.6 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.
20. Captura de complemento Pesmet: atrapa la miga de vulnerabilidad: modificando la configuración del complemento no autorizado en la versión: 1.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.

21. Capture IDS
Plugin: ID de captura de vulnerabilidad: Cambio de configuración del complemento no autorizado en la versión: 2.4 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4.
22. Tutor LMS
Plugin: LMS Vulnerabilidad del tutor: Administrador múltiple + Escrituras entre sitios almacenados parcheados en: 1.9.9 Puntuación de gravedad: Bajo

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.9.
23. WP Import Export Lite
Plugin: WP Import Export Lite Vulnerabilidad: suscriptor + extensiones de actualización parcheadas en la versión: 3.9.5 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.9.5.
Plugin: WP Import Export Lite Vulnerabilidad: suscriptor + Blog de arbitraje del blog de actualización En la versión: 3.9.5 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.9.5.24. Un usuario de avatar

Complemento: avatar para una sola vulnerabilidad del usuario: contribuyente + escrituras entre sitios almacenados parcheados en: 2.3.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.7.
Plugin: Avatar para una sola vulnerabilidad del usuario: Actualizar avatar a través de CSRF parcheado en la versión: 2.3.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.7.
25. Complemento de planta de desplazamiento: vulnerabilidad de panderes de desplazamiento: CSRF en RCE corregido en la versión: No hay remediación es remedio de gravedad: crítico

Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
26. Boleto de WP
Plugin: Vulnerabilidad de boletos de WP: Administración + almacenamiento entre sitios parcheados en: 5.10.4 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.10.4.
27. complemento de juego: vulnerabilidad de juego: guiones entre sitios reflejados corregidos en la versión: No hay remediación es remedio de gravedad: alto
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
28. Recompensa WeChat Plugin: Recompensa vulnerabilidad de WeChat: CSRF a scripts de ascenso cruzado corregidos en la versión: ningún remedio es remedio de gravedad: alto

Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
29. Complemento sociable: vulnerabilidad sociable: administración + almacenamiento entre sitios corregidos en la versión: no se sabe que no se haya reparado severidad: no se ha reparado baja vulnerabilidad. Desinstale y borre el complemento hasta que se libere un parche.
30. Betterdocs
Plugin: BetterDocs Vulnerabilidad: Escrituras entre sitios reflejados parcheados en: 1.9.2 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.2.
31. Suplementos múltiples de WooCommerce: más complementos de complementos: Vulnerabilidad del filtro de producto de WooCommerce: Actualización / acceso / deleción y configuración de complementos Actualización / exportación / importación Blog Reducido parcheado: 8.2.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 8.2.0.
Plugin: Vulnerabilidad de estampado de variable de atributos-productores: actualización / acceso / deleción y configuración del complemento Actualización / exportación / importación Blog Blog Reducido en la versión: 5.3.
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.3.0.

Complemento: insignias-vulnerabilidad de sellado de insignia: actualización / acceso / deleción y configuración Actualización / exportación / importación Blog Blog Reducido en la versión: 4.4.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.4.0.
Plugin: Share-Print-PDF-WooCommerce Vulnerabilidad: Actualización / Acceso / Configuración de eliminación y complemento Actualización / exportación / Importación Blog Reducido Blog Parcheado en la Versión: 2.8.0 Puntuación de gravedad: Se repara la alta vulnerabilidad, 2.8.0.
Plugin: Vulnerabilidad de bucles de productos: Actualización / Acceso / Acceso / Configuración del complemento Actualización / exportación / importaciones Blog Blog Reducido Parchado en la versión: 1.7.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.0.
Plugin: XFORWOOCOMMERCE Vulnerabilidad: Actualización / Acceso / Eliminación y complementos Configuración de configuración Update / Export / Importation Blog reducido Blog Parcheado en la versión: 1.7.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.0.
Complemento: paquete-quantity-xforwc vulnerabilidad: actualización / acceso / configuración de eliminación y complemento Actualización / exportación / importación del blog Reducido Blog Parcheado en la versión: 1.2.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.0.
Plugin: Price-Commander-XForWC Vulnerabilidad: Actualización / Acceso / Acceso / Configuración del complemento Actualización / Exportación / Importación del blog Blog Reducido Blog Parcheado en la versión: 1.3.
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.0.
Plugin: vulnerabilidad de control de spam-xforwc: actualización / acceso / configuración de eliminación y complemento Actualización / exportación / Importación Blog Reducido Blog Parcheado en la versión: 1.5.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.0.
Plugin: Add-Tabs-XForWC Vulnerabilidad: Actualización / Acceso / Eliminación y complementos Configuración Actualización / Exportación / Importación Blog Reducido Blog Parcheado en la versión: 1.5.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.0.
32. WP COKIE COKIE CHOGIN: WP Cookie Choice Choice Vulnerabilidad: CSRF a las Escrituras de sitio cruzado corregido en la versión: No hay remediación remedio: alto
Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 2 de agosto de 2021. Desinstalar y eliminar.
33. Feed Twitter fácil
Plugin: Feed Twitter Vulnerabilidad fácil: contribuyente + Escrituras entre sitios almacenados parcheados: 1.2 Puntuación de gravedad: medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4.
34. Reproductor de audio HTML5
Plugin: HTML5 Vulnerabilidad del reproductor de audio: contribuyente + scripts entre sitios almacenados parcheados en: 2.1.3 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.3.
3.
Esta vulnerabilidad no ha sido reparada. Este complemento se cerró a partir del 27 de julio de 2021. Desinstalar y eliminar.

36. Streamcast
Plugin: Streamcast Vulnerabilidad: contribuyente + Escrituras entre sitios almacenados parcheados en: 2.1.1 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.1.37. Visor de luz PDF

Plugin: Vulnerabilidad de visor de luz PDF: inyección de pedido autenticado parcheado: 1.4.12 Puntuación de gravedad: bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.12.
38. MAINWP Informes para niños
Plugin: Informes para niños Vulnerabilidad de MainWP: Administración + inyección SQL parcheado en la versión: 2.0.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.8.

39. LearnPress
Plugin: LearnPress Vulnerabilidad: Cambiar la configuración del complemento no autorizado en la versión: 4.1.3.1 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.1.3.1.

Plugin: LearnPress Vulnerabilidad: Administrador múltiple + Escrituras entre sitios almacenados parcheados en: 4.1.3.1 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.1.3.1.
40. Optinmonster

Plugin: OptinMonster Vulnerabilidad: Scripts cruzados reflejados (XSS) parcheados en la versión: 2.6.1 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.1.
41. Complemento del cargador delantero: vulnerabilidad del alto y cargador: escrituras cruzadas no autorizadas almacenadas en la versión: no hay corrección conocida – gravedad del enchufe cerrado: medio

Esta vulnerabilidad no ha sido reparada. Este complemento ha sido cerrado a partir del 22 de julio de 2021. Desinstalar y eliminar.
42. Permitir rel = y html en el complemento de BIOS de autor: permitir rel = y html en el bios de autor – complemento WordPress | WordPress.org Vulnerabilidad: Autor + scripts entre sitios almacenados corregidos en la versión: no hay corrección conocida: gravedad del tapón cerrado: medio Esta vulnerabilidad no se ha reparado. Este complemento ha sido cerrado a partir del 22 de julio de 2021. Desinstalar y eliminar.
43. WP HTML Autor Bio Plugin: WP HTML BIO Vulnerabilidad: Autor + Escrituras entre sitios almacenados corregidos en la versión: No hay corrección conocida – Gravedad del enchufe cerrado: medio
Esta vulnerabilidad no ha sido reparada. Este complemento ha sido cerrado a partir del 19 de julio de 2021. Desinstalar y eliminar.
44. JQuery Respuesta al complemento de comentarios: JQuery Respuesta a Comentarios Vulnerabilidad: CSRF a las Escrituras de sitio cruzado corregido en la versión: No hay corrección conocida – Gravedad del enchufe cerrado: Alto

Esta vulnerabilidad no ha sido reparada. Este complemento ha sido cerrado a partir del 19 de julio de 2021. Desinstalar y eliminar.
45. Video Gallery – Vimeo Gallery y YouTube Plugin: Video Gallery – Vimeo Gallery y YouTube Vulnerabilidad: Administración + Almacenamiento entre sitios corregidos en la versión: No hay corrección conocida – Gravedad del enchufe cerrado: Bajo
Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 15 de septiembre de 2021. Desinstalar y eliminar.

46. ​​Solicite una oferta
Plugin: solicite una oferta de vulnerabilidad: Administración + almacenamiento entre sitios parcheados en: 2.3.5 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.5.
47. Complemento de asesoramiento diario: Vulnerabilidad diaria de asesoramiento: CSRF a scripts de sitio cruzado corregidos en la versión: No hay corrección conocida – Gravedad del complemento cerrado: esta vulnerabilidad no se ha reparado. Este complemento ha sido cerrado a partir del 28 de junio de 2021. Desinstalar y eliminar.
48. Búsqueda avanzada
Plugin: Vulnerabilidad de búsqueda avanzada: Escrituras entre sitios reflejados parcheados en: 1.1.3 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.3.
49. Menú Mega WP
Plugin: WP Mega Menú Vulnerabilidad: suscriptor + acceso arbitrario parcheado en la versión: 1.4.1 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.1.

Plugin: WP Mega Menú Vulnerabilidad: Acceso arbitrado arbitrado parcheado en la versión: 1.4.0 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.0.
50. Plugin Cherry Plugin: Cherry Plugin Vulnerabilidad: Carga y descarga de archivos de arbitraje no autorizados en la versión: 1.2.7 Puntuación de gravedad: crítico
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.7.
51. Gerente de trabajo de WP

Plugin: WP Job Manager – Plugin WordPress | WordPress.org Vulnerabilidad: Descearización de Pharhar parcheado en la versión: 1.31.3 Puntuación de gravedad:
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.31.3.
Plugin: WP Job Manager – Plugin WordPress | WordPress.org Vulnerabilidad: inyección de objetos no autorizados parcheados en la versión: 1.29.3 Puntuación de gravedad: Medio

Se repara la vulnerabilidad, por lo que debe actualizarse a la versión 1.29.3.Plus: WP Job Manager – Plugin WordPress | WordPress.org Vulnerabilidad: Archivos de arbitraje no autorizados parcheados en la versión: 1.26.2 Puntuación de gravedad: crítico
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.26.2.
Plugin: WP Job Manager – Plugin WordPress | WordPress.org Vulnerabilidad: scripts cruzados reflejados (XSS) parcheado en la versión: 1.23.8 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.23.8.
52. Detector de complementos móviles de WP: Detector de vulnerabilidad móvil WP: Carga de archivos ARBIT no autorizado en la versión: 3.6 Puntuación de gravedad: Crítico
Esta vulnerabilidad fue reparada, pero el complemento estaba cerrado. Debe encontrar un reemplazo lo antes posible.
53. Teleificación del complemento: Vulnerabilidad de la telección: Relé abierto y falsificación de demanda Parte del servidor corregido en la versión: No hay corrección conocida – Puntuación de complemento cerrado: Medio

Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 20 de septiembre de 2021. Desinstalar y eliminar.
54. Condición del servidor de juego del complemento: Estado del servidor de juego de vulnerabilidad: contribuyente + inyección SQL corregido en la versión: no hay corrección conocida – Gravedad del enchufe cerrado: alto complemento: el estado del servidor de juegos Vulnerabilidad: administración + inyección SQL corregido en la versión:: No hay corrección conocida: puntaje de gravedad del complemento cerrado: medio del complemento: el estado del servidor de juegos Vulnerabilidad: Administración + almacenamiento entre sitios corregidos en la versión: no hay una corrección conocida – Severidad del complemento cerrado: la disminución de la vulnerabilidad no se reparó. Este complemento ha estado cerrado desde el 20 de agosto de 2021. Desinstalar y eliminar.
55. Slider WordPress Receptive Plugin: Slider Vulnerabilidad receptiva de WordPress: suscriptor + scripts entre sitios almacenados corregidos en la versión: no hay una gravedad de enchufe cerrada con la corrección: crítico de complemento: vulnerabilidad receptiva de WordPress deslizante: Escrituras entre sitios reflejados corregidos en la versión: Versión: no se conoce corrección: gravedad del complemento cerrado: crítico
Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 20 de septiembre de 2021. Desinstalar y eliminar.
56. Picks Tweets Plugin: Obtener tweets Vulnerabilidad: scripts entre sitios reflejados corregidos en la versión: no hay corrección conocida – Gravedad del enchufe cerrado: alto
Esta vulnerabilidad no ha sido reparada. Este complemento se ha cerrado desde el 9 de agosto de 2021. Desinstalar y eliminar.
57. WooCommerce
Plugin: Vulnerabilidad de WooCommerce: Google Analytics Patched Informes en la versión: 5.7.0 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.7.0.58. Administrador de WooCommerce
Plugin: WooCommerce Admin Vulnerabilidad: Google Analytics Patched Informes en: 2.6.0 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.0.
59. Jugador YT
Complemento: vulnerabilidad del jugador YT: contribuyente + escrituras entre sitios almacenados parcheados en la versión: 1.4 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.
60. Complemento de barra de cookie: barra de cookies Vulnerabilidad: Administración + almacenamiento entre sitios corregidos en la versión: no hay gravedad del enchufe cerrado de corrección: baja
Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 5 de agosto de 2021. Desinstalar y eliminar.
61. WP User Manager
Plugin: Vulnerabilidad del administrador de usuarios de WP: reinicio arbitrario de la contraseña del usuario al compromiso de la cuenta parcheada en la versión: 2.6.3 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.3.

62. Descargar Media fácil
Plugin: Descargar fácil vulnerabilidad de medios: contribuyente + escrituras entre sitios almacenados parcheados en: 1.1.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.7.

63. Formularios ninja
Plugin: Ninja Forms Vulnerabilidad: descanso sin protección Al divulgar información confidencial parcheada en la versión: 3.5.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.8.

Plugin: Ninja Form Vulnerabilidad: descanso sin protección en la inyección por correo electrónico en la versión: 3.5.8 Puntuación de gravedad: El medio se repara, por lo que debe actualizarse a la versión 3.5.8.
Plugin: Ninja Forms Vulnerabilidad: Administración + almacenamiento entre sitios parchados en la versión: 3.5.8.2 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.8.2.
64. 3DPrint Lite Plugin: 3DPrint Lite Vulnerabilidad: Carga de archivos de arbitraje no autorizados corregidos en la versión: no hay corrección conocida: gravedad del enchufe cerrado: crítico
Esta vulnerabilidad no ha sido reparada. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.

65. país de bloque de coeficiente intelectual
Plugin: Vulnerabilidad del país de bloque IQ: Administración + almacenamiento entre sitios parcheados en: 1.2.12 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.12.

66. Publicaciones populares de WordPress
Plugin: publicaciones populares Vulnerabilidad de WordPress: Administración + almacenamiento entre sitios parchados en la versión: 5.3.4 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.3.4.

67. Página personalizada y página de inicio de sesión
Plugin: Página personalizada de autenticación de tablero y vulnerabilidad: Administración + almacenamiento entre sitios parcheados en la versión: 6.9.2 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.9.2.
68. Biblioteca de errores
Plugin: Biblioteca de errores de vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 2.0.4 Puntuación de gravedad: el medio se repara, por lo que debe actualizarse a la versión 2.0.4.
Una nota sobre la divulgación responsable
Tal vez se pregunte por qué se revelará una vulnerabilidad si les dan a los piratas informáticos una explotación. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de vulnerabilidad después de 90 días, ya sea que se haya reparado o no la vulnerabilidad. Cómo proteger su sitio web de WordPress y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades nuevas del complemento y el tema de WordPress. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, explore la pestaña de verificación del sitio en las características del complemento y haga clic en el conmutador para activar el escaneo del sitio.

Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en la tarjeta de sitio de escaneo de scirity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página Detalles. En la página de vulnerabilidad del sitio de escaneo, verá si hay un disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones a la actualización automática si remedia la vulnerabilidad de las versiones de ITHEMS Security Pro se integran con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza lo suficiente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad que se encuentra por el sitio del escáner.
3. Obtenga una alerta de correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, vaya a la configuración del Centro de notificaciones de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio. Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.

Obtenga iThemes Security Pro y descanse un poco más fácil esta noche, IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio web.
Escáner de sitio para complementos y temas vulnerabilidad
La junta de seguridad del sitio en tiempo real

Detectar el cambio de archivo
Revistas de seguridad de WordPress
Dispositivos de confianza

recaptcha
Protección contra la fuerza bruta
Autenticación con dos factores
Enlaces de autenticación mágica
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.