Informe de vulnerabilidad de WordPress: abril de 2021, Parte 3

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. Las evaluaciones de gravedad se basan en el sistema de observar vulnerabilidad común.
En el informe de abril, Parte 3
WordPress WordPress 5.7.1 Vulnerabilidades básicas se lanza el 15 de abril de 2021. Esta versión de seguridad y mantenimiento incluye 26 remedios de error, además de dos remedios de seguridad. Debido a que esta es una versión de seguridad de WordPress, ¡es aconsejable actualizar sus sitios de inmediato!
1. WordPress 5.6 – 5.7 Vulnerabilidad: xxe autenticado en la biblioteca de medios que afecta a Php 8 parcheado en la versión: 5.7 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / S. C: H / I: H / A: H
Se repara la vulnerabilidad, por lo que debe actualizar el núcleo de WordPress en 5.7.1+.
2. WordPress 4.7-5.7 Vulnerabilidad: Exposición de páginas protegidas de contraseña autenticada parcheada en la versión: 5.7 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N
Se repara la vulnerabilidad, por lo que debe actualizar el núcleo de WordPress en 5.7.1+.
Vulnerabilidades de complemento de WordPress
1. Livemesh complementos para elementor

Vulnerabilidad: Escrituras cruzadas (XSS) parcheadas en la versión: 6.8 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / R: Nvulnerabilidad se repara, por lo que debe actualizarse a la versión 6.8+.
2. ht mega – complemento absoluto para elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 1.5.7 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.7+.
3. Woolentor – Artículos complementarios de WooCommerce
Vulnerabilidad: Escrituras cruzadas (XSS) parcheadas en la versión: 1.8.6 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.8.6+.
4. BuddyPress
Vulnerabilidad: Vulnerabilidades La API descansa múltiples parches en la versión: 7.3.0 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / I UN.

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.3.0+.
5. Powerpack complementos para elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 2.3.2 Severidad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.2+.
6. Efectos de pasaje de imagen: complemento de elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 1.3.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.4+.7. Extensiones y plantillas Rife Elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 1.1.6 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.6+.

8. Complete Plus para Elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 2.0.6 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6+.

9. Completa todo en uno para Elementor
Vulnerabilidad: Escrituras cruzadas (XSS) parcheadas en la versión: 2.3.10 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.3.10.

10. JetWidgets para Elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: Severidad: Medium – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / UN.
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.8+.

11. Extensión sinusoidal para Elementor
Vulnerabilidad: Escrituras cruzadas almacenadas (XSS) parcheadas en la versión: 3.3.12 Severidad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / a: n
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.3.12+.

12. Final se completa para Elementor
Vulnerabilidad: Escrituras cruzadas (XSS) parcheadas en la versión: 1.30.0 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: se repara la nvulnerabilidad, por lo que debe actualizarse a la versión 1.30.0+.
13. Computadoras de fitness

Vulnerabilidad: Solicitud entre los sitios Falsificación a las Escrituras entre sitios parchados en la versión: 1.9.6 Gravedad: Gran CVS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I : L / A: L

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.9.6+.
14. Acceda al administrador de los derechos de usuario

Vulnerabilidad: Controles de acceso inadecuados parcheados en la versión: 1.0.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.4+.
15. complementos inteligentes para elementor

Vulnerabilidad: almacenamiento de secuencias de comandos cruzados XSS parcheados en la versión: 2.1.0 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / Un
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.0+.
16. descargas digitales ligeras

Vulnerabilidad: desconexión de la banda no autorizada por CSRF parcheado en la versión: 2.10.3 Gravedad: Medio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.10.3+.
17. Puente Edwiser

Vulnerabilidad: CSRF Nonce Bypass parcheado en la versión: 2.0.7 Gravedad: Medio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: norte
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.7+.
18. Manager de descarga de WordPressvulnerabilidad: Duplicación no autorizada de descargas parcheadas en la versión: 3.1.18 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / C : n / c: i: l / a: n

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.18+.
19. Ultimate Maps de Supsystic
Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.2.5 Severidad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A : l

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.5+.
20. PopUp de Supsystic
Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 1.10.5 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A : l

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.10.5+.
21. Galería de fotos de 10web
Vulnerabilidad: múltiples scripts reflejados en el sitio parcheado en la versión: 1.5.69 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.69+.
22. Redirección para el Formulario de contacto 7
Vulnerabilidad: Generación arbitraria no autenticada parcheada en la versión: 2.3.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N Vulnerabilidad: Instalación autenticada del complemento arbitrario parcheado en la versión: 2.3.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N Vulnerabilidad: Inyección Php Objeto autenticado en la versión: 2.3.4 Severidad: GRANDE – CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H Vulnerabilidad: deleción arbitraria después de la autenticación parcheada en la versión: 2.3.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L Vulnerabilidad: Acciones Ajax Patchado sin protección en la versión: 2.3.4 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U: U: U / S

Vulnerabilidades del tema de WordPress
Esta semana no se han revelado nuevas vulnerabilidades temáticas.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.