Informe de vulnerabilidad de WordPress: septiembre de 2021, Parte 2

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Siendo uno de los mayores informes de vulnerabilidad de WordPress hasta ahora, comparta esta publicación con sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 8 de septiembre de 2021
¿Quiere este informe entregado en la casilla de correo electrónico cada semana?
¡Firme!
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complementos de WordPress En esta sección, se han revelado las últimas vulnerabilidades de complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión si se corrige el grado de gravedad. 1. Bloque de conteo inverso

Plugin: Vulnerabilidad de bloqueo inverso: falta de autorización en la acción de AJAX parcheado en la versión: 1.1.2 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.2.
2. Registro de actividad del usuario

Complemento: Registro de actividad del usuario de vulnerabilidad: Escrituras entre sitios reflejados por consultas parchadas en la versión: 1.4.7 Puntuación de gravedad: el medio se repara, por lo que debe actualizarse a la versión 1.4.7.
Plugin: Vulnerabilidad del diario de actividad del usuario: Escrituras entre sitios reflejados parcheados en la versión: 1.4.7 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.7.
3. Notificación y cumplimiento de las cookies para GDPR / CCPA
Complemento: notificación y cumplimiento de cookies para la vulnerabilidad GDPR / CCPA: Administración + almacenamiento entre sitios parcheados en: 2.1.2 Puntuación de gravedad: baja

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.2.
4. traducirpress
Plugin: Vulnerabilidad de traducción: Escrituras cruzadas Loted Parcheado en la versión: 2.0.9 Puntuación de gravedad: Low

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.9.
5. Estadísticas de WP
Plugin: Vulnerabilidad de estadísticas de WP: scripts cruzados reflejados (XSS) parcheados en la versión: 13.1 Puntuación de gravedad: Alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 13.1.
6. Coolclock
Plugin: Vulnerabilidad de CoolClock: contribuyente + Escrituras entre sitios almacenados parcheados en la versión: 4.3.5 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.3.5.
7. Más complementos de minioelange
Complemento: más complementos de la vulnerabilidad de minioelange: scripts reflejados entre sitios a través de la aplicación parcheada en la versión: 6.20.3 Puntuación de gravedad: High se repara, por lo que debe actualizarse a la versión 6.20.3.

8. complementos premium para elementor
Complemento: complementos premium para vulnerabilidad elemental: suscriptor + actualización de la opción de blog arbitraria en la versión: 4.5.2 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.5.2.

9. Memoria del caché
Complemento: caché de vulnerabilidad: escrituras entre sitios reflejados parcheados en: 21.08.02 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 21.08.02.

10. WooCommerce Zoho Integration – CRM, libros, factura, inventario
Plugin: WooCommerce Zoho Integration – CRM, libros, factura, inventario de vulnerabilidad: más complementos de CRM Ventajas – Scripts cruzados reflejados parchados en la versión: 1.2.4 Gravedad: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.4.

11. Integración para WooCommerce y QuickBooks
Plugin: Integración para WooCommerce y QuickBooks Vulnerabilidad: Más complementos de CRM Ventajas – Scripts cruzados reflejados parcheados en la versión: 1.1.9 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.9.

12. Formularios de gravedad Salesforce
Plugin: Formularios de gravedad Vulnerabilidad de Salesforce: más complementos de CRM Ventajas – Scripts cruzados reflejados parcheados en la versión: 1.2.6 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.6.13. Forma de gravedad zoho CRM complemento

Plugin: Formas de gravedad Vulnerabilidad complementaria de Zoho CRM: más complementos de CRM Ventajas Scripts cruzados reflejados en: 1.1.6 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.6.
14. Forma de gravedad Hubspot

Plugin: Formas de gravedad Vulnerabilidad de Hubspot: más complementos de CRM Ventajas – Scripts cruzados reflejados parcheados en la versión: 1.0.9 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.9.
15. Integración de WooCommerce Salesforce

Plugin: integración WooCommerce Salesforce Vulnerabilidad: más complementos de CRM Ventajas – Scripts cruzados reflejados parcheados en la versión: 1.5.9 Severidad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.9.
16. Formas de gravedad Zendesk

Plugin: Formas de gravedad Vulnerabilidad de Zendesk: más complementos de CRM Ventajas – Scripts cruzados reflejados en: 1.0.8 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.8.
17. Plugin WP InfusionionSoft WooCommerce

Plugin: complemento WP InfusionionSoft WooCommerce Vulnerabilidad: más complementos de CRM Ventajas – Scripts cruzados reflejados parchados en: 1.0.9 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.9.
18. Integración para el Formulario de contacto 7 y ActiveCampaign

Complemento: integración para el formulario de contacto 7 y la vulnerabilidad de ActiveCampaign: más complementos de las ventajas de CRM – Scripts cruzados reflejados en: 1.0.4 Severidad: se repara la marvulnerabilidad, por lo que debe actualizarse a la versión 1.0.4.
19. Integración para Hubspot y WooCommerce
Plugin: Integración para HubSpot y WoCommerce Vulnerabilidad: más complementos de CRM Ventajas – Scripts cruzados reflejados parcheados en la versión: 1.0.5 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.5.
20. Forma de gravedad Freshdesk Plugin
Plugin: Gravity Forms FreshDesk Plugin – Plugin WordPress | WordPress.org Vulnerabilidad: Más complementos de CRM Ventajas – Scripts cruzados reflejados en: 1.2.9 Gravedad: Gran

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.9.
21. Forma de gravedad Dinámica CRM
Plugin: Formas de gravedad Dinámica Vulnerabilidad CRM: más complementos de CRM Ventajas – Scripts cruzados reflejados Parchado en la versión: 1.0.8 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.8.
22. Forma de gravedad Contacto de complemento constante
Plugin: Formas de gravedad Vulnerabilidad de complemento de contacto constante: más complementos de CRM Ventajas – Scripts cruzados reflejados en: 1.0.6 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.6.
23. Integración para formas de gravedad y tubería
Plugin: Integración para las formas de gravedad y la vulnerabilidad de PipeDrive: más complementos de CRM Advestages – Scripts cruzados reflejados parcheados en: 1.0.7 Severidad: se repara la marvulnerabilidad, por lo que debe actualizarse a la versión 1.0.7.

24. La gravedad de WP se forma de manera inteligente
Plugin: WP Gravity Forms Vulnerabilidad perspicaz: más complementos de CRM Ventajas – Scripts cruzados reflejados en: 1.0.7 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.7.

25. Desinstalación de WordPress
Plugin: desinstalar Vulnerabilidad de WordPress: Delección de WordPress por CSRF corregido en la versión: No conocido Remedio: Genial
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.

26. complemento CF GEO
Plugin: CF Vulnerabilidad del complemento GEO: Escrituras entre sitios reflejados parcheados en: 7.13.12 Gravedad: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.13.12.

27. Subconstrucción
Plugin: Vulnerabilidad subconstrucción: Escrituras entre sitios reflejados parcheados en: 1.19 Gravedad: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.19.

28. DZS Zoomsounds
Plugin: DZS ZoomSounds Vulnerabilidad: Descarga de archivos de arbitraje no autorizados parcheados en la versión: 6.50 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.50.

29. Precios y descuentos dinámicos de WooCommerce
Complemento: precios dinámicos y reducciones de wooCommerce vulnerabilidad: configuraciones no autorizadas Importar en XSS almacenado parcheado en la versión: 2.4.2 Severidad: se repara la marvulnerabilidad, por lo que debe actualizarse a la versión 2.4.2.
Complemento: precio y reducciones dinámicas vulnerabilidad de wooCommerce: exportación de configuraciones parchadas no autorizadas en la versión: 2.4.2 Gravedad: promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4.2.
30. Manager de licencia de software
Plugin: Vulnerabilidad del gerente de licencias de software: Administración + almacenamiento entre sitios parcheados en: 4.5.0 Gravedad: Bajo

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 14.5.0.
31. Tiempo y cronograma de eventos de motoPress
Complemento: cronograma y cronograma de eventos motorizados de vulnerabilidad: autor + scripts entre sitios almacenados parcheados en: 2.3.19 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.19.
32. íconos sociales ligeros

Plugin: íconos sociales ligeros Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 3.1.0 Severidad: Gran

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.0.
33. Done con Qcode

Plugin: Done con vulnerabilidad de Ccode: almacenamiento de scripts de sitio cruzado en la versión: 1.4.5 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.5.
Plugin: Done con vulnerabilidad de Ccode QR: actualice la configuración del complemento por CSRF corregido en la versión: No se conoce la gravedad del remedio: medio

Esta vulnerabilidad no ha sido reparada. Desinstale y elimine el complemento hasta que se libera un parche.34. El calendario de eventos xo
Plugin: Calendario de eventos Vulnerabilidad XO: Escrituras entre sitios reflejados parcheados en la versión: 2.3.7 Gravedad: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.7.

35. Watu cuestion
Plugin: WATU Vulnerabilidad: XSS reflejado por pregunta-form.html.php parcheado en: 3.1.2.6 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.2.6.
36. Biblioteca de plantilla de Gutenberg y marco de Rodux
Plugin: Biblioteca de plantilla de Gutenberg y marco de vulnerabilidad de Redu: contribuyente + instalación arbitraria del complemento y eliminación parchada en la versión: 4.2.13 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.13.
37. Galería Miau
Plugin: Galería de vulnerabilidad de MeOow: actualización no autorizada de opciones arbitrarias por reposo API parcheado en la versión: 4.2.0 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.2.0.
Plugin: Galería de vulnerabilidad del mago: contribuyente + inyección parcheada de SQL en: 4.1.9 Gravedad: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.1.9.

38. WP Mapa Polito Espana
Plugin: WP Map Politico Espana Vulnerabilidad: Escrituras entre sitios almacenadas autenticadas parcheadas en la versión: 3.7.0 Gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.7.0.

39. Restricción de carga de WP
Plugin: Restricción de carga Vulnerabilidad WP: falta de control de acceso en getSelectemimypesByrole parcheado en la versión: 2.2.5 Severidad: la medievulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.5.
Plugin: Restricción de carga Vulnerabilidad WP: Falta de control de acceso en DeleteCustompe parcheado en la versión: 2.2.5 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.5.
Plugin: Restricción de carga Vulnerabilidad WP: almacenamiento XSS autenticado parcheado en la versión: 2.2.5 Gravedad: promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.5.
Vulnerabilidades del tema de WordPress
Este mes, no se revelaron nuevas vulnerabilidades para el tema de WordPress.

Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchas vulnerabilidades de complementos y un tema de WordPress cada semana. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la pestaña de verificación del sitio en las características del complemento y haga clic en el cambio para activar el escaneo del sitio. Para activar un escaneo de sitio manual, haga clic en el botón de escaneo ahora desde la tarjeta de sitio de escaneo Scinity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página Detalles. En la página de vulnerabilidad del sitio de escaneo, verá si hay un disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones a la actualización automática si remedia la vulnerabilidad de las versiones de ITHEMS Security Pro se integran con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza lo suficiente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad que se encuentra por el sitio del escáner.
3. Obtenga una alerta de correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, vaya a la configuración del Centro de notificaciones de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio. Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Obtenga iThemes Security Pro y descanse un poco más fácil esta noche, IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio web.
Escáner de sitio para complementos y temas vulnerabilidad
La junta de seguridad del sitio en tiempo real
Detectar el cambio de archivo
Revistas de seguridad de WordPress
Dispositivos de confianza

recaptcha

Protección contra la fuerza bruta

Autenticación con dos factores

Enlaces de autenticación mágica

El privilegio de la escalada

Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.