Informe de vulnerabilidad de WordPress: junio de 2021, Parte 2

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe de junio, Parte 2
Regístrese en las actualizaciones semanales de seguridad y noticias semanales de WordPress
Suscríbase ahora
Vulnerabilidades básicas de WordPress A partir de hoy, la versión actual de WordPress es 5.7.2. ¡Asegúrese de actualizar todos sus sitios web!
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complemento de WordPress
1. Complete Plus para Elementor

Plugin: Complete Plus para Vulnerabilidad de Elementor: Escrituras entre sitios reflejados parcheados en: 4.1.12 Severidad: promedio
Plugin: completo Plus para vulnerabilidad elemental: Abra la redirección parcheada en la versión: 4.1.10 Gravedad: Complemento promedio: completo Plus para vulnerabilidad del elemento: reinicio arbitrario Correo electrónico PWD parcheado en la versión: 4.1.11: Gran
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.1.11+.
2. Diagrama de DIA DA / No Plugin: Diagramas de DIA / Sin vulnerabilidad: inyección SQL ciega autenticado en la versión: 1.0.12 Puntuación de gravedad: High se repara, por lo que debe actualizarse a la versión 1.0.12+.
3. Fogallery
Plugin: Vulnerabilidad de Fogallery: Escrituras de sitios cruzados almacenados autenticado parcheado en la versión: 2.0.35 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.35+.
4. Calendario de eventos WD
Plugin: evento calendario WD Vulnerabilidad: Scripting de sitio cruzado parcheado en la versión: 1.1.45 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.45+.
5. MC4WP: MailChimp para WordPress
Complemento: MC4WP: MailChimp para WordPress Vulnerabilidad: Redierización arbitana arbitana parcheada en la versión: 4.8.5 Puntuación de gravedad: Medio de complemento: MC4WP: MorraChimp para WordPress Vulnerabilidad: Acciones no autorizadas a través de CSRF parcheado en la versión: 4.8.5 Gravedad: Promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.8.5+.
6. Todos los 404 redireccionamiento a la página del complemento principal: todos los 404 redirigidos en la página de vulnerabilidad principal: Escrituras de asado autenticado en la versión: No hay remedio conocido de gravedad: medio medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
7. Diseñador de productos elegante
Complemento: elegante vulnerabilidad del diseñador de productos: archivo de archivo de arbitraje no autorizado y parcheado en la versión: 4.6.9 Puntuación de gravedad: crítico

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.6.9+.8. Recibir el pago
Plugin: Vulnerabilidad de GetPaid: Escrituras cruzadas almacenadas parcheadas en la versión: 2.3.4 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.4+.

9. Maestro para cuestionarios y encuestas

Complemento: cuestionario y vulnerabilidad maestra de encuesta: scripts no autorizados de sitios cruzados parcheados en la versión: 7.1.19 Puntuación de gravedad de la gravedad: Prueba: Prueba y vulnerabilidad maestra de la encuesta: Escrituras entre sitios reflejados parcheados en: 7.1.18 Puntuación de gravedad: Recogido
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.1.18+.

10. Jetpack
Complemento: vulnerabilidad de jetpack: fuga de comentarios de la página / publicación adjunta parchada en la versión: 9.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 9.8+.

Vulnerabilidades del tema de WordPress
No hay temas de vulnerabilidades WordPress nuevos para informar.
Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software.
Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no es respetado, entonces el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La defensa pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y que se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad.
Obtenga una alerta por correo electrónico cuando IThemes Security Pro encuentra una vulnerabilidad conocida en su sitio. El escáner Ithemes Security Pro Plugin es otra forma de asegurar y proteger su primera causa de WordPress. Software: complementos obsoletos y temas con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. El complemento iThemes Security Pro puede enviarle los resultados de un escaneo de sitio si encuentra complementos vulnerables, temas o la versión básica en su sitio. Los resultados del escaneo del sitio se mostrarán en widget. Si el escaneo del sitio detecta una vulnerabilidad , haga clic en el enlace de vulnerabilidad para ver la página Detalles.
Después de activar el escaneo del sitio, vaya a la configuración del centro de notificación del complemento. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio.
Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Obtenga iThems Security Pro para asegurar su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. ¿Obtener ithemes Security Pro se ha perdido el primer tramo de junio de WordPress Vulnerability Reports? Siga a continuación: junio de 2021, parte 1 Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.