WordPress Vulnebility Roundup: septiembre de 2020, Parte 2

Algunas nuevas vulnerabilidades para los complementos y temas de WordPress se revelaron en la segunda mitad de septiembre, lo que ha convertido en una de nuestras mayores sumas hasta ahora. En esta publicación, cubrimos las vulnerabilidades recientes del arado, el tema y el núcleo de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En el informe de septiembre, parte 2
Las vulnerabilidades básicas de WordPress no se han revelado ninguna vulnerabilidad básica de WordPress el 2 de septiembre. Asegúrese de ejecutar la última versión de WordPress, que es la versión 5.5.1.
Vulnerabilidades de complemento de WordPress 1. Activos de limpieza

Las versiones de limpieza de activos por debajo de 1.3.6.7 tienen una vulnerabilidad de las solicitudes de falsificación de los sitios web y los sitios de secuencias de comandos de sitios cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 1.3.6.7.
2. Menú pegajoso, encabezado pegajoso

El menú pegajoso, las versiones de encabezado pegajoso debajo de 2.21 tienen falsificaciones de solicitudes de sitios cruzados y vulnerabilidades de secuencias de comandos cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 2.21.
3. Cookiebot

3.6.1 Las versiones de Cookiebot tienen una solicitud de sitio cruzado y vulnerabilidades de secuencias de comandos cruzadas.
La vulnerabilidad se repara y debe actualizarse a la versión 3.6.1.
4. Seguridad y firewall WP en uno en uno

Todas las versiones de seguridad y el firewall WP, todo en uno inferior a 4.4.4, tienen vulnerabilidades para falsificar las aplicaciones entre sitios y secuencias de comandos cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 4.4.4.5. Administrador personalizado absolutamente lleno de encanto
Las versiones de administración personalizadas absolutamente glamorosas por debajo de 6.5.5 tienen vulnerabilidades para falsificar solicitudes entre sitios y scripts entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 6.5.5.
6. Elementos complemento elemental
Las versiones de Element Addon Elements por debajo de 1.6.4 tienen falsificaciones de solicitudes de sitios cruzados y vulnerabilidades de secuencias de comandos cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 1.6.4.
7. Suscríbase por correo electrónico y boletines informativos
Las versiones de los suscriptores de correo electrónico y los boletines por debajo de 4.5.6 muestran vulnerabilidad no autorizada al falsificar / falsificar correos electrónicos.

La vulnerabilidad se repara y debe actualizarse a la versión 4.5.6.
8. Feed de alimentación social de 10web
10web Social Post Feed Las versiones por debajo de 1.1.27 tienen una inyección de vulnerabilidad autenticada SQL.

La vulnerabilidad se repara y debe actualizarse a la versión 1.1.27.
9. Gerente de afiliados
Las versiones del Gerente de Afiliación por debajo de 2.7.8 tienen una vulnerabilidad no autorizada almacenada en el sitio web de secuencias de comandos entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 2.7.8.
10. Reserva del hotel WP
Las versiones de reserva de hotel WP por debajo de 1.10.2 tienen una vulnerabilidad para falsificar la demanda entre los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.10.2.
11. Gerente de Proyecto WP
Las versiones de WP Project Manager por debajo de 2.4.1 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.

La vulnerabilidad se repara y debe actualizarse a la versión 2.4.1.12. 10 Vebanalítica
10 versiones web por debajo de 1.2.9 tienen una vulnerabilidad de la demanda de falsificación entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.9.

13. Top 10 – complemento para mensajes populares para WordPress
Top 10: el complemento de publicación popular para las versiones de WordPress por debajo de 2.9.5 tiene una vulnerabilidad para falsificar la demanda entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.9.5.

14. Gerente de barra lateral ligera
Las versiones de la barra lateral de la barra de luz por debajo de 1.1.4 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 1.1.4.

15. Botones de radio para taxonomías
Los botones de radio para taxonomías por debajo de 2.0.6 presentan una vulnerabilidad para falsificar la demanda entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.0.6.

16. Catálogo de productos X
Las versiones del catálogo de productos por debajo de 1.5.13 presenta una vulnerabilidad para falsificar la demanda entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 1.5.13.

17. suscripciones pagas pro
Las versiones pagadas por suscripciones profesionales por debajo de 2.4.3 tienen una vulnerabilidad de la demanda de falsificación entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.4.3.

18. Notificación
Las versiones de la notificación por debajo de 1.8.3 presentan una vulnerabilidad para falsificar las solicitudes entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 1.8.3.

19. Pronto el modo de mantenimiento y el modo de mantenimiento
La vulnerabilidad se repara y debe actualizarse a la versión 1.58.
20. Menú de swapper

Las versiones del menú Swapper por debajo de 1.1.1 tienen una vulnerabilidad de la demanda de falsificación entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 1.1.1.
21. Fragmentos de anuncios de madera

Las versiones de Woody AD fragmentos por debajo de 2.3.10 muestran una vulnerabilidad de la demanda de falsificación entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.3.10.
22. entrenador

Las versiones forminantes por debajo de 1.13.5 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 1.13.5.
23. RSS agregado de Feedzy

RSS Aggregator by Feedzy Versiones por debajo de 3.4.3 tiene una vulnerabilidad de falsificación de solicitud de sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 3.4.3.
24. Aliméngalos socialmente

Alimente las versiones sociales por debajo de 2.8.7 presentan una vulnerabilidad de la demanda de falsificación entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.8.7.
25. WP ERP

Las versiones WP ERP por debajo de 1.6.4 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 1.6.4.
26. Catálogo de productos de comercio electrónico

Las versiones del catálogo de productos de comercio electrónico por debajo de 2.9.44 tienen una vulnerabilidad para falsificar la demanda entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.9.44.27. Testimonios de luz
Las versiones fáciles de testimonios por debajo de 3.7 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.

La vulnerabilidad se repara y debe actualizarse a la versión 3.7.
28. Dokan
Las versiones de Dokan por debajo de 3.0.9 tienen una vulnerabilidad de la demanda de falsificación entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 3.0.9.

29. Best WooCommerce Multivendor Marketplace
Las mejores versiones de WooCommerce Multivendor Marketplace Solution por debajo de 3.5.8 presentan una vulnerabilidad de la demanda de falsificación entre los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 3.5.8.
30. Plantilla de campo personalizada
Las versiones personalizadas de las plantillas de campo por debajo de 2.5.2 tienen una vulnerabilidad para falsificar la demanda entre los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 2.5.2.
31. Cupón Creador
Las versiones creativas de cupón por debajo de 3.1.1 tienen una vulnerabilidad para falsificar las solicitudes entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 3.1.1.
32. Línea de tiempo fría
Las versiones Cool Timeline por debajo de 2.0.3 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.

La vulnerabilidad se repara y debe actualizarse a la versión 2.0.3.
33. Funnel Builder por Cartflows
Funnel Builder of Cartflows por debajo de 1.5.16 presenta una vulnerabilidad para falsificar la demanda entre los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.5.16.
34. Configuración de personalización de importación / exportación
Las versiones de importación / exportación de la configuración del personalizador por debajo de 1.4 presentan una falsificación de solicitud de sitio cruzado. Se repara la vulnerabilidad y debe actualizarse a la versión 1.0.4.

35. Reglas de descuento de WooCommerce
Las reglas de reducción para las versiones de WooCommerce por debajo de 2.2.1 tienen múltiples vulnerabilidades de autorización de autorización.
La vulnerabilidad se repara y debe actualizarse a la versión 2.2.1.

36. MetaSlider
Las versiones de MetaSlider por debajo de 3.17.2 tienen una vulnerabilidad autenticada almacenada en varios sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 3.17.2.

37. Deslice y sujete múltiples archivos de carga
Tire y suje múltiples versiones de carga por debajo de 1.3.5.5 Tenga una vulnerabilidad no autorizada al ejecutar el código a distancia.
La vulnerabilidad se repara y debe actualizarse a la versión 1.3.5.5.

Vulnerabilidades del tema de WordPress 1. JobMmonster
Las versiones de JobMonster por debajo de 4.6.6.1 tienen una lista de directorios en la vulnerabilidad de la carpeta de carga.
La vulnerabilidad se repara y debe actualizarse a la versión 4.6.6.1.

Spotlight presenta IThemes Security Pro: Dispositivos de confianza Hay muchas características en IThemes Security Pro que pueden evitar que los piratas informáticos exploten vulnerabilidades en los complementos y temas de WordPress. El desvío de la autenticación y el secuestro de la sesión son dos de los tipos de vulnerabilidades más peligrosos. Ambas vulnerabilidades pueden ser explotadas por los piratas informáticos para evitar la protección de la autenticación y tomar el control de su sitio web. Hoy cubriremos dispositivos de confianza, un método de seguridad robusto para proteger su sitio web incluso cuando sea vulnerable a evitar la autenticación o los ataques de secuestro. Trust Devices es un método de seguridad robusto para proteger su sitio web incluso cuando es vulnerable a evitar la autenticación o los ataques de secuestro. Por qué hemos desarrollado dispositivos confiables para asumir que está siguiendo todas las mejores prácticas de seguridad de WordPress para proteger su cuenta de usuario. No solo utiliza una contraseña única y poderosa para cada sitio, sino que bloquea todas las cuentas en línea con dos factores. Eres un buen ejemplo de lo que se ve en serio la seguridad de WordPress. Sin embargo, incluso con todas las medidas de seguridad que ha implementado, de alguna manera, su sitio web ha sido pirateado. Y, para empeorar, el atacante usó a su usuario de WordPress para piratear el sitio. ¿Cómo te pasó esto, Guru of Security?
Desafortunadamente, incluso si hace todo lo correcto para asegurar su cuenta de usuario de WordPress, todavía hay formas que los hackers pueden usar para explotar su cuenta. Por ejemplo, WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y supongamos que tiene una extensión del navegador que ha sido abandonada por el desarrollador y que ya no lanzó actualizaciones de seguridad. Desafortunadamente para usted, la extensión del navegador descuidada tiene una vulnerabilidad. La vulnerabilidad permite a los malos actores desviar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de hack se conoce como secuestro de sesión. Por lo tanto, un atacante puede explotar la vulnerabilidad de la extensión para resaltar sus datos de inicio de sesión y puede comenzar a hacer cambios maliciosos con su usuario de WordPress. Bastante crudo, ¿verdad? Estamos de acuerdo, por lo que creamos una forma de proteger su cuenta, incluso cuando los malos actores pueden encontrar y explotar otras vulnerabilidades. ¿Cuáles son sus dispositivos de confianza?
La característica de dispositivos de confianza en Ithemes Security Pro funciona para identificar sus dispositivos y otros usuarios para conectarse a su sitio de WordPress. Después de identificar sus dispositivos, podemos detener los buzos de sesión y otros malos actores para no causar daños a su sitio web. Cuando un usuario se ha conectado en un dispositivo irreconocible, los dispositivos confiables pueden restringir sus capacidades a nivel de administrador. Esto significa que si un atacante pudiera ingresar al sitio de retroceso Backp. En este escenario, recibirá un correo electrónico anunciando que alguien ha conectado a su sitio en un dispositivo irreconocible. El correo electrónico incluye una opción de bloqueo del dispositivo del hacker. Entonces puedes reír y reír, sabiendo que has roto el día de un chico malo. Otra ventaja de los dispositivos confiables es que hace que la sesión sea una cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. ¡Hombre, por supuesto que se siente bien al evitar que los ataques maliciosos tengan éxito! Cómo usar los dispositivos confiables característicos en iThemes Security Pro para comenzar a usar dispositivos confiables, activarlos en la configuración de seguridad principal y luego haga clic en el botón Configuración de configuración.

En la configuración de dispositivos confiables, decida qué usuarios desean usar la función y luego active la restricción de funcionalidades y características de protección contra el secuestro de la sesión. Después de activar los nuevos dispositivos de confianza, los usuarios recibirán una notificación en la barra de administración de WordPress sobre no reconocidos. dispositivos.. Si su dispositivo actual no se ha agregado a la lista confiable de dispositivos, haga clic en el enlace Confirmar del dispositivo para enviar el correo electrónico de autorización.
Haga clic en el botón Confirmar del dispositivo en el correo electrónico de autenticación no reconocido para agregar sus dispositivos actuales a su lista de dispositivos confiables.
Una vez que se activan los dispositivos de confianza, los usuarios pueden administrar dispositivos en su página de usuario de WordPress. Desde esta pantalla, puede aprobar o rechazar dispositivos de la lista de dispositivos confiables.
Además, tiene la opción de registrarse en algunas API de la tercera para mejorar la precisión de identificar dispositivos de confianza y utilizar mapas de imagen estáticos para mostrar la ubicación aproximada de una fecha de autenticación no reconocida. Consulte la configuración de dispositivos confiables para ver qué integración está disponible,
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress.Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.Obtenga iThemes Security Promichael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.