Informe de vulnerabilidad de WordPress: abril de 2021, Parte 4

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. Este informe cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. Las evaluaciones de gravedad se basan en el sistema de observar vulnerabilidad común.
En el informe de abril, Parte 4
Obtenga el Informe de vulnerabilidad de WordPress de seguridad de ITHEMS entregado a su casilla de correo electrónico
Regístrese para el informe
WordPress 5.7.1 Vulnerabilidades básicas se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento incluye 26 remedios de error además de dos remedios de seguridad. Debido a que esta es una versión de seguridad de WordPress, ¡es aconsejable actualizar sus sitios de inmediato! Vulnerabilidades de complemento de WordPress
1. acordeón

Vulnerabilidad: Escrituras cruzadas reflejadas parchadas autenticadas en la versión: 2.2.30 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.30+.
2. RSS para Yandex Turbo

Vulnerabilidad: Escrituras cruzadas de forma cruzada almacenadas autenticadas parcheadas en la versión: 1.30 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A : L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.30+.
3. Complete Kaswara Modern VC Vulnerabilidad: archivos de arbitraje no autorizados corregidos en la versión: No se conoce severidad: crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I : H / A: Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
4. Protección para copiar el contenido de WP y sin clic derecho
Vulnerabilidad: Instalación / activación del complemento arbitrario a través de CSRF parcheado en la versión: 3.4 Gravedad: Critical – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H: H: H: H: H / I A: H Vulnerabilidad: Instalación / activación del complemento arbitrario con bajos privilegios parcheados en la versión: 3.5.1 Gravedad: Critic – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / S: C / S: C / S: C / S: C / S C: H / I: H / A: H

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.1+.
5. Correo de marketing condicionado para WoCommerce
Vulnerabilidad: Instalación / activación del complemento arbitrario a través de CSRF parcheado en la versión: 1.6 Gravedad: Critical – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H: H: H: H: H / I A: H.

Vulnerabilidad: Instalación / activación del complemento arbitrario por usuario con privilegios reducidos parcheados en la versión: 1.5.2 Gravedad: Critic – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6+.
6. Captchinoo, Google Recaptcha para la autenticación del administrador de vulnerabilidad: Instalación / activación del complemento arbitrario corregido en la versión: No conocido Remedio: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H Vulnerabilidad: Instalación / Activación complemento arbitrario con privilegios reducidos corregidos en la versión: Sin remedio conocido: crítico – CVSS: 3.1 / AV: N / AC: L / PR: L / UI : N / S: C / C: H / I: H / A: Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
7. Modo de mantenimiento de WP y vulnerabilidad del sitio de construcción: Instalación / activación del complemento arbitrario por CSRF corregido en la versión: No conocido Remedio: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / UI: S: C / C: H / I: H / A: H Vulnerabilidad: Instalación / Activación complemento arbitrario con privilegios reducidos corregidos en la versión: sin remedio conocido: crítico – CVSS: 3.1 / AV: N / AC: L / PR: L / ui: n / s: c / c: h / i: h / a: h
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
8. El mapa del sitio del árbol de vulnerabilidad: instalación / activación del complemento arbitrario por CSRF corregido en la versión: No se conoce remediación: crítico – CVSS: 3.1 / av: n / ac: l / pr: n / ui: r: r: r: r: r / S: C / C: H / I: H / A: H Vulnerabilidad: Instalación / Activación complemento arbitrario con privilegios reducidos corregidos en la versión: sin remediación conocida: crítico – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.9. Protección contra la autenticación – Límite Límite Iniciar sesión Fallido Vulnerabilidad: Instalación / Plugin de arbitrar de activación por CSRF Corregido en la versión: No conocido Remedio: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad: Instalación / activación del complemento arbitrario por usuario con privilegios reducidos corregidos en la versión: No se conoce severidad: crítico – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C: H / I : H / A: H
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
10. Estadísticas del tráfico de visitantes de tiempo real
Vulnerabilidad: Instalación / activación del complemento arbitrario a través de CSRF parcheado en la versión: 2.13 Gravedad: Critical – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H: H: H: H / I: H / I A: H.
Vulnerabilidad: Instalación / activación del complemento arbitrario por usuario con privilegios reducidos parcheados en la versión: 2.12 Gravedad: Critic – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.13+.

11. Inicie sesión como usuario o cliente

Vulnerabilidad: Instalación / activación del complemento arbitrario a través de CSRF parcheado en la versión: 2.1 Gravedad: Critical – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H: H: H: H: H / I A: H Vulnerabilidad: Instalación / activación del complemento arbitrario con bajos privilegios parcheados en la versión: 1.8 Gravedad: Critic – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C : H / i: h / a: h
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1+.12. Redirigir 404 al padre
Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.3.1 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A : l

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.1+.
13. Seleccione todas las categorías y taxonomías Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.3.2 Gravedad: Great – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / S: C / S: C / S: C / S: C / S: C / S: C / S C: L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.2+.

14. Gerente de licencias de software
Vulnerabilidad: CSRF en XSS almacenado parcheado en la versión: 4.4.6 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A : L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.4.6+.
15. Vendedor automático – Vulnerabilidad Anuncio de automóvil Script: inyección SQL no autorizada corregida en la versión: No conocido Remedio: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.

16. Localizador de tiendas más vulnerabilidad: Escrituras cruzadas no autorizadas almacenadas en la versión: No se conoce severidad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
17. complementos felices para Elementor Free & Pro
Vulnerabilidad: scripts de sitio cruzado almacenados parcheados en la versión: 2.24.0 Pro parcheado en la versión: 1.17.0 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: se repara la nvulnerabilidad, por lo que debe actualizarse a la versión 2.24.0+ (gratis) / 1.17.0+ (Pro).
18. El caché de WP más rápido
Vulnerabilidad: Eliminar los archivos de arbitraje autenticados cruzando la ruta parcheada en la versión: 0.9.1.7 Severidad: Low – CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 0.9.1.7+.

19. Vulnerabilidad de WPGraphql: Denegación del servicio corregido en la versión: No conocida Remediación: Gran – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H.
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
20. WooCommerce

Vulnerabilidad: Escrituras cruzadas almacenadas autenticadas parcheadas en la versión: 5.2.0 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / Un
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.2.0+.
Vulnerabilidades del tema de WordPress
Esta semana no se han revelado nuevas vulnerabilidades temáticas.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress.Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.Obtenga iThemes Security Promichael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.