Informe de vulnerabilidad de WordPress: junio de 2021, Parte 4

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
Vulnerabilidades en el informe de junio, Parte 4
Obtenga el informe semanal de vulnerabilidad de WordPress entregado directamente en la casilla de correo electrónico.
Suscríbase ahora
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complemento de WordPress
1. BCS Batchline Book Importador

Plugin: BCS Batchline Book Importor Vulnerabilidad: Importación de productos no autorizados parcheados en la versión: 1.5.8 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.8+.
2. Imágenes WP SVG

Plugin: Imágenes SVP WP Vulnerabilidad: Escrituras de sitios cruzados almacenadas autenticadas parcheadas en la versión: 3.4 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.4+.
3. Vik Rent Car

Plugin: VIK Rent Car Vulnerabilidad: CSRF en XSS almacenado parcheado en la versión: 1.1.7 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.7+.
4. WP FoodBakery

Plugin: FoodBakery Vulnerabilidad: Escrituras entre sitios reflejados parcheados en: 2.2 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2+.
5. Foro WPFORO

Plugin: Vulnerabilidad del foro WPFORO: Redirección abierta parcheada en la versión: 1.9.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.7+.
6. Gerente de valores de WooCommerce

Plugin: Manager de vulnerabilidad de stock de WooCommerce: CSRF en la carga de archivo arbitraria parcheado en: 2.6.0 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.0+.
7. Botones suaves de drivación de la página superior / inferior

Plugin: Botones de desplazamiento suaves de la página Up / Down Vulnerabilidad: Escrituras cruzadas autenticadas almacenadas en la versión: No se conoce la Severidad del remedio: Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
8. Solicite una oferta

Plugin: Solicite una oferta Vulnerabilidad: Escrituras cruzadas almacenadas parcheadas en la versión: 2.3.4 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.4+.
9. WP YouTube Lyte Plugin: WP YouTube Lyte Vulnerabilidad: Cross Escrituras almacenadas Autenticado Parchado en la versión: 1.7.16 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.16+.
10. Búsqueda de empleo WP

Complemento: búsqueda de empleo Vulnerabilidad WP: Escrituras cruzadas ubicadas parcheadas en la versión: 1.7.4 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 1.7.4+.
11. Restablecer WP
Plugin: Restablecer Vulnerabilidad de WP: Escrituras de sitios cruzados almacenados autenticado parchado en la versión: 1.90 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.90+.
12. Copia de seguridad del complemento de 10Web: Vulnerabilidad de copia de seguridad de 10WEB: Scripts entre sitios reflejados corregidos en la versión: Sin corrección conocida – Gravedad del enchufe cerrado: Alto
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
13. W3 Cache total
Plugin: W3 Vulnerabilidad total de caché: Escrituras de sitios cruzados almacenadas autenticadas parcheadas en la versión: 2.1.3 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.3+.
14. Formas WP con fluidez
Plugin: WP Fluent Forms Vulnerabilidad: Solicitud de falsificación entre sitios parchados en la versión: 3.6.67 Puntuación de gravedad: Alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.6.67+.
15. Filtros avanzados de productos AJAX
Plugin: Filtros avanzados de productos de vulnerabilidad de AJAX: los scripts cruzados reflejaban parches no autorizados en la versión: 1.5.4.7 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.4.7+.

16. Filebird
Plugin: Vulnerabilidad de Filebird: inyección SQL no autorizado parcheado en la versión: 4.7.3 Puntuación de gravedad: Alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.7.3+.17. 404 – 301
Plugin: 404-301 Vulnerabilidad: Control de acceso de defecto parcheado en la versión: 3.0.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.0.8+.

Vulnerabilidades del tema de WordPress 1. Jannah
Tema: Vulnerabilidad de Jannah: Escrituras entre sitios reflejados parcheados en la versión: 5.4.5 Puntuación de gravedad: High
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.4.5+.

2. Foodbakery
Plugin: FoodBakery Vulnerabilidad: Escrituras entre sitios reflejados parcheados en: 2.2 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2+.

Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software.
Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no es respetado, entonces el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La defensa pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y que se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchas vulnerabilidades de complementos y un tema de WordPress cada semana. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la pestaña de verificación del sitio en las características del complemento y haga clic en el cambio para activar el escaneo del sitio. Para activar un escaneo de sitio manual, haga clic en el botón de escaneo ahora desde la tarjeta de sitio de escaneo Scinity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones La función de gestión de versiones de seguridad de ITHEMS se integra con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza rápidamente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad encontrada por el sitio del escáner.3. Obtenga una alerta por correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, acceda a la configuración del centro de notificación de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio.
Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así. 7.0 está aquí + 30% de descuento! Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Esta semana, celebramos el lanzamiento de Ithemes Security Pro 7.0 con una venta para que pueda actualizar todos sus sitios en Pro. Solo tiene que usar el código de cupón 7Popopopopopopoin para el pago en cualquier nueva adquisición IThemes Security Pro * hasta el 30 de junio de 2021. Obtenga IThemes Security Pro

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.