Informe de vulnerabilidad de WordPress: diciembre de 2021, Parte 5

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en el orden del número de instalaciones activas, en lugar de la fecha de divulgación.
¡Comparta esta publicación con sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos!
El contenido del informe del 22 de diciembre de 2021
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. CONTACTO FORMINO 7 CUNDO DE BASE DE DATOS
2. Formularios de luz para MailChimp
3. Relevansi: una mejor búsqueda
4. Boletín, SMTP, marketing por correo electrónico y formularios de suscripción SetInblue
5. Product Feed Pro para WooCommerce
6. Post Grid
7. Entradas del formulario de contacto
8. Entradas para eventos
9. Campos personalizados avanzados: extendido
10. Acepte donaciones con PayPal
11. El campo de la galería de fotos ACF
12. Monitor de descarga simple
13. Proteger el administrador de WP
14. Copia de seguridad y escenificada por la cápsula de tiempo WP
15. Calendario de eventos
16. Reservas en restaurantes de cinco estrellas
17. Foro de Asgaros
18. WP125
19. Gerente de afiliados
20. Instrumento de SEO inteligente
21. Legislación de Tartaucitron.JS-Cookie y GDPR
22. SEO Booster23. Banner de Booking.com Creator
24. Campos de perfil adicionales
25. Product Assistant Booking.com
26. Seur oficial
27. Integración con hojas de cálculo
28. ADS AFILIADOS CLICKBANK
29. estético
30. Gerente de eventos móviles
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
31. Cualquier Comment
Vulnerabilidades en el complemento de WordPress: complemento cerrado
32. pestañas
33. Suplementos de codificación corta
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga iThemes Security Pro con escaneo del sitio
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, instalaciones activas, número de versión, si se corrige el grado de gravedad. 1. CONTACTO FORMINO 7 CUNDO DE BASE DE DATOS
Plugin: Formulario de contacto 7 complemento para bases de datos Vulnerabilidad: Escrituras entre sitios almacenados no autorizados Instalación activa: 400.000+ parcheado en la versión: 1.2.6.2 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.6.2.
Plugin: Formulario de contacto 7 complemento para bases de datos Vulnerabilidad: deleción arbitraria de la forma por CSRF Instalación activa: 400,000+ Patchado en la versión: 1.2.6.2 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.6.2.2. Formularios de luz para MailChimp
Complemento: formularios suaves para vulnerabilidad de mailchim: escrituras reflejadas entre sitios de instalación activos: más de 100,000 estatales en la versión: 6.8.6 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.8.6.

3. Relevansi: una mejor búsqueda
Complemento: relevansi-una mejor búsqueda de vulnerabilidad: Escrituras entre sitios almacenados inalcanzables Instalación activa: 100,000+ Patchado en la versión: 4.14.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.14.3.

4. Boletín, SMTP, marketing por correo electrónico y formularios de suscripción SetInblue
Plugin: Boletín de información, SMTP, Formularios de marketing de correo electrónico y suscripción de SendInblue Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 90,000+ parcheado en la versión: 3.1.25 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.25.

5. Product Feed Pro para WooCommerce
Plugin: Product Feed Pro para la vulnerabilidad de WooCommerce: Configuración de actualización Configuración+ en XSS Storage Instalación activa: 80,000+ Patchado en la versión: 11.0.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 11.0.7.

6. Post Grid
Plugin: Vulnerabilidad posterior a la cuadrícula: contribuyente+ inyección de SQL Instalación activa: 60,000+ parcheado en la versión: 2.1.13 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.13.

7. Entradas del formulario de contacto
Plugin: Entradas de la vulnerabilidad del formulario de contacto: Escrituras entre sitios almacenados no autorizados: 40,000+ parcheados en: 1.2.4 Puntuación de gravedad: Se corrige Marevulnerabilidad, por lo que debe actualizarse a la versión 1.2.4.
8. Entradas para eventos

Plugin: boletos para eventos de vulnerabilidad: Abra la instalación activa Redirección: 40,000+ parcheado en la versión: 5.2.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.2.2.
9. Campos personalizados avanzados: extendido

Complemento: campos personalizados avanzados: vulnerabilidad extendida: admin+ sql inyección instalación activa: 40.000+ parcheado en la versión: 0.8.8.7 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.8.8.7.
10. Acepte donaciones con PayPal

Plugin: Acepte donaciones con vulnerabilidad de PayPal: deleción arbitraria posterior a CSRF Instalación activa: 30,000+ Patchado en la versión: 1.3.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.4.
11. El campo de la galería de fotos ACF

Plugin: ACF Photo Gallery Vulnerabilidad del campo: Escrituras reflejadas entre sitios de instalación activos: 30,000+ Patchado en la versión: 1.7.5 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.5.
12. Monitor de descarga simple

Plugin: Vulnerabilidad del monitor de descarga simple: CSRF Instalación activa múltiple: 30,000+ parcheado en la versión: 3.9.11 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.11.
13. Proteger el administrador de WP

Plugin: protege la vulnerabilidad del administrador de WP: desactivación no autorizada del complemento Instalación activa: 30,000+ parcheado en la versión: 3.6.2 Puntuación de gravedad: el medio se correge, por lo que debe actualizarse a la versión 3.6.2.
14. Copia de seguridad y escenificada por la cápsula de tiempo WP
Plugin: copia de seguridad y puesta en escena por WP Time Capsules Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 20,000+ Patchado en la versión: 1.22.7 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.22.7.
15. Calendario de eventos
Plugin: Calendario de eventos de vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 20,000+ Patchado en la versión: 1.1.51 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.51.
Complemento: calendario de eventos vulnerabilidad: suscriptor+ creación de evento de instalación activa: más de 20,000+ parcheado en la versión: 1.1.51 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.51.

16. Reservas en restaurantes de cinco estrellas
Plugin: Reservas en los restaurantes de cinco estrellas Vulnerabilidad: Suscriptor+ Scripting Active Instalación: 20,000+ Patchado en la versión: 2.4.8 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.8.
17. Foro de Asgaros
Plugin: Vulnerabilidad del foro de Asgaros: inyección admin+ sql por foro_id instalación activa: más de 20,000+ parcheado en la versión: 1.15.15 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.15.15.
18. Complemento WP125: Vulnerabilidad WP125: deleción arbitraria de ADS por CSRF Instalación activa: 10,000+ Patchado en la versión: 1.5.5 Puntuación de gravedad: El medio se corrige, por lo que debe actualizarse a la versión 1.5.5.
19. Gerente de afiliados

Plugin: Vulnerabilidad del afiliado del gerente: Escrituras entre sitios almacenados no autorizados Instalación activa: 10,000+ Patchado en la versión: 2.9.0 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.9.0.
20. Instrumento de SEO inteligente
Plugin: Vulnerabilidad inteligente del instrumento SEO: Escrituras reflejadas entre sitios de instalación activos: 9,000+ parcheado en la versión: 3.0.6 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.6.

21. Legislación de Tartaucitron.JS-Cookie y GDPR
Plugin: TartteAcitron.js-Cookies Legislación y Vulnerabilidad de GDPR: CSRF en scripts almacenados entre sitios de instalación activos: 7.000+ parcheado en: 1.6 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.

Plugin: TartteAucitron.JS-Cookies Legislation y Vulnerabilidad GDPR: Administrador + Scripting Instalación activa: 7.000+ Patchado en la versión: 1.6.1 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.1.
22. Booster de SEO

Plugin: Vulnerabilidad de refuerzo de SEO: Admin+ SQL Injection Instalación activa: 4,000+ parcheado en la versión: 3.8 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.8.
23. Booking.com Banner de creador
Plugin: Booking.com Vulnerabilidad del creador de banner: Administrador+ Escrituras entre sitios almacenados Instalación activa: más de 3.000 parcheados en la versión: 1.4.3 Puntuación de gravedad: Scatvulnerabilidad se correge, por lo que debe actualizarse a la versión 1.4.3.
24. Campos de perfil adicionales

Plugin: campos adicionales de perfil de vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 2,000+ parcheados en la versión: 1.2.4 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.4.
25. Product Assistant Booking.com

Plugin: Product Assistant Booking.com Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados Instalación activa: 2,000+ Patchado en la versión: 1.0.2 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.2.
26. Seur oficial

Plugin: Vulnerabilidad oficial de Seur: Administrador+ Escrituras entre sitios almacenados Instalación activa: 1,000+ parcheado en la versión: 1.7.0 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.0.
27. Integración con hojas de cálculo

Plugin: Integración con hojas de computación Vulnerabilidad: CSRF Bypass Instalación activa: 1,000+ parcheado en la versión: 3.6.0 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.6.0.
Plugin: Integración con hojas de computación Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 1,000+ parcheado en la versión: 3.6.0 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.6.0.
28. ADS AFILIADOS CLICKBANK
Plugin: ADS afiliados Vulnerabilidad de ClickBank: Administrador+ Escrituras entre sitios almacenados Instalación activa: 700+ parcheado en la versión: 1.35 Puntuación de gravedad: Scatvulnerabilidad se correge, por lo que debe actualizarse a la versión 1.35.

Complemento: anuncios afiliados Vulnerabilidad de clickbank: CSRF en scripts almacenados entre sitios de instalación activos: 700+ parcheado en la versión: 1.35 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.35.
29. estético
Complemento: vulnerabilidad estética: CSRF en scripts almacenados entre sitios de instalación activos: 300+ parcheado en la versión: 1.0.9 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.9.

30. Gerente de eventos móviles
Plugin: Mobile Event Manager Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados Instalación activa: 20+ parcheado en la versión: 1.4.4 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.4.
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre. 31. Cualquier Comment

Plugin: Anyment Vulnerabilidad: Escrituras reflejadas entre los sitios de instalación activos: más de 4,000 parcheados en la versión: No hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
Vulnerabilidades en el complemento de WordPress: complemento cerrado

En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre. 32. Pestañas del complemento: Hojas de vulnerabilidad: Actualización no autorizada de la opción arbitraria parcheada en la versión: 3.6.0 – Gravedad del enchufe cerrado: la vulnerabilidad crítica se ha corregido. Este complemento se ha cerrado desde el 20 de diciembre de 2021. Desinstalar y eliminar.
33. Suplementos de códigos cortos del complemento: Suplementos de códigos cortos Vulnerabilidad: Actualización no autorizada de la opción arbitraria parcheada en la versión: 3.1.0 – Gravedad del enchufe cerrado: crítico
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 20 de diciembre de 2021. Desinstalar y eliminar.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en el informe semanal de vulnerabilidad de WordPress, muchos nuevos complementos y tema de WordPress se revelan cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente a usted3. Activar Detección de archivo Cambio de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La diversión de detección de detección de archivos en su sitio
Obtenga iThems Security Pro con el escaneo del sitio de seguridad Pro Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas

Ahorre 35% IThemes Security Pro hasta el 31 de diciembre