WordPress Vulnebility Roundup: febrero de 2021, Parte 1

En la primera mitad de febrero, se revelaron nuevas vulnerabilidades para WordPress y temas. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. Las evaluaciones de gravedad se basan en el sistema de observar vulnerabilidad común.
En el informe de febrero, Parte 1
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades del complemento de WordPress 1. Ulisting – crítico

Las versiones ULIST por debajo de 1.7 tienen múltiples vulnerabilidades, incluidas inyecciones SQL no autorizadas, creando una cuenta arbitraria no autorizada y cambiando las opciones de WordPress no autorizadas.
La vulnerabilidad se repara y debe actualizarse a la versión 1.7.
2. Super Formularios – Crítico

Las versiones de Super Forms por debajo de 4.9,703 tienen una vulnerabilidad de carga no autorizada de los archivos PHP.
La vulnerabilidad se repara y debe actualizarse a la versión 4.9.703.
3. El calendario de los eventos modernos – crítico

Las versiones de calendario de eventos modernos por debajo de 5.16.5 tienen varios problemas, incluida una carga de archivos arbitraria autenticada que conduce a la vulnerabilidad al código remoto.
La vulnerabilidad se repara y debe actualizarse a la versión 5.16.5.
4. Fildeș Search – Medium

Las versiones de búsqueda de marfil por debajo de 4.5.11 muestran una vulnerabilidad auténtica refleja secuencias de comandos entre sitios.
5. Editor de WP – crítico
Las versiones del editor de WP por debajo de 1.2.7 tienen una inyección auténtica de vulnerabilidad SQL.

La vulnerabilidad se repara y debe actualizarse a la versión 1.2.7.
6. API MSTORE – High
Las versiones de la API MSTORE por debajo de 3.2.0 tienen un bypass de autenticación con vulnerabilidad que se conecta con Apple.

La vulnerabilidad se repara y debe actualizarse a la versión 3.2.0.
7. Popup Builder – Medio ambiente
Las versiones de PopUp Builder bajo 3.74 tienen una vulnerabilidad auténtica reflejada en secuencia de comandos de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 3.74.
8. Voucher de regalo – crítico
Todas las versiones de cupones de regalo tienen una vulnerabilidad no autorizada de la inyección de ciegas SQL.

Elimine el complemento hasta que se inicie una solución de seguridad.
9. Director de nombre – Medio ambiente
Las versiones del directorio del nombre a continuación 1.18 tienen una vulnerabilidad para falsificar la demanda entre los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.18.
10. Forma de contacto 7 estilo – alto
Todas las versiones de contacto de estilo del Formulario 7 tienen vulnerabilidad entre las solicitudes de falsificación en sitios almacenados de sitios cruzados.

Elimine el complemento hasta que se inicie una solución de seguridad.
11. GDPR y CCPA Final – Critic CCPA Set
Las últimas versiones de GDPR y CCPA 2.5 Herramientas de cumplimiento de CCPA y configuraciones de complementos importados, lo que lleva a una vulnerabilidad de redirección maliciosa.

La vulnerabilidad se repara y debe actualizarse a la versión 2.5.12. ¿Te gusta la evaluación de los botones? Comobtn – genial
¿Te gusta la evaluación de los botones? Las versiones LikeBTN por debajo de 2.6.32 tienen una modificación del blog arbitrario no autorizado y una vulnerabilidad SSRF completamente no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 2.6.32.

13. Profesión de suscripción pagada – Medio
Las versiones de los miembros pagadas por debajo de 2.5.3 tienen una vulnerabilidad de derivación de autenticación que conduce a la divulgación no autorizada de la información del pedido.
La vulnerabilidad se repara y debe actualizarse a la versión 2.5.3.

14. copia de seguridad de Suphhystic – crítico
Toda la copia de seguridad de Supsystic tiene una vulnerabilidad para incluir archivos locales.
Elimine el complemento hasta que se inicie una solución de seguridad.

15. Formulario de contacto por Suphhystic – crítico
Todas las versiones del formulario de contacto Supplystic tienen una vulnerabilidad de inyección SQL autenticada.
Elimine el complemento hasta que se inicie una solución de seguridad.

16. Generador de tabla de datos por Suitsic – crítico

Todas las versiones del generador de tablas de datos de Supssic de Supssic tienen una vulnerabilidad de inyección SQL autenticada.
Elimine el complemento hasta que se inicie una solución de seguridad.

17. Publicaciones digitales de supsstic – Medium
Todas las versiones de publicaciones digitales en Supsística tienen una vulnerabilidad autenticada almacenada en sitios de sitios cruzados.
Elimine el complemento hasta que se inicie una solución de seguridad.

18. Adhesión de suministros – Criticate
Todas las versiones de membresía Supplystic tienen una auténtica vulnerabilidad de inyección SQL.
Elimine el complemento hasta que se inicie una solución de seguridad.

19. bala informativa supsíntica – crítico
Todas las versiones del boletín de Supssic tienen una auténtica vulnerabilidad de inyección SQL.
Elimine el complemento hasta que se inicie una solución de seguridad.

20. Tabla de precios después de supsstic – crítico
Todas las versiones de la tabla de precios supsísticas tienen una auténtica vulnerabilidad de inyección SQL.
Elimine el complemento hasta que se inicie una solución de seguridad.

21. Mapas definitivos por supsstic – crítico
Todas las versiones tienen mapas finales de vulnerabilidad mediante inyección SQL autenticada supsística.
Elimine el complemento hasta que se inicie una solución de seguridad.

22. Galería NextGen – Crítica
Las versiones de NextGen Gallery bajo 3.5.0 tienen CSRF, carga de archivos, Vulnerabilidades de XSS y RCE almacenados.
La vulnerabilidad se repara y debe actualizarse a la versión 3.5.0.

23. Bloqueo de mapa para Google Maps – Medio
El bloque de mapas para las versiones de Google Maps por debajo de 1.32 tiene una vulnerabilidad de control de acceso interrumpida que conduce a una clave de API de Google no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 1.32.

Vulnerabilidades del tema de WordPress 1. Wyzi – Medium
2.4.3 Las versiones de Wyzi tienen una vulnerabilidad reflejada en las secuencias de comandos de sitios cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 2.4.3.

2. Temas de paralelo múltiple: medio
Las versiones de varios temas paralelos por debajo de 2.0 tienen una vulnerabilidad reflejada por los guiones entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.0.

Consejo de consejos de febrero: ¿por qué debería registrar la actividad del sitio de seguridad del sitio de seguridad debería ser una parte esencial de su estrategia de seguridad de WordPress? ¿Por qué? La grabación y el monitoreo insuficientes pueden conducir a un retraso en la detección de una violación de seguridad. ¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Este período de tiempo permite que un atacante viole otros sistemas, modifique, robe o destruya más datos. Por esta razón, el “registro insuficiente” ha aterrizado en los primeros 10 seguridad para aplicaciones Web OWASP. Las revistas de seguridad de WordPress tienen varias ventajas en su estrategia de seguridad general, ayudándole: identificar y detener el comportamiento malicioso.
Actividad en el sitio que puede advertirle sobre una violación.
Evalúa cuánto daño se ha causado.
Ayuda a reparar un sitio pirateado.
Si su sitio está pirateado, querrá tener la mejor información para ayudarlo en una investigación y recuperación rápidas. La buena noticia es que IThemes Security Pro puede ayudarlo a implementar el registro del sitio web. Las revistas de seguridad de WordPress de Ithemes Security Pro siguen todas estas actividades del sitio para usted:
Brucar WordPress rompe ataques
Cambios de archivo
Escaneos de malware
Actividad del usuario
Las estadísticas en sus revistas se muestran en un tablero de seguridad de WordPress en tiempo real, que puede ver desde el tablero del administrador de WordPress.
Vea esta publicación de reflexión de características, donde desglosamos todos los registros de seguridad de WordPress en su sitio web utilizando IThems Security Pro. Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtenga iThemes Security Promichael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.