Informe de vulnerabilidad de WordPress: octubre de 2021, Parte 3

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 20 de octubre de 2021
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.1 se ha lanzado como una versión de seguridad y mantenimiento. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad.
1. WPSchoolPress

Complemento: wpschoolpress vulnerabilidad: administración múltiple+ scripts entre sitios almacenados parcheados en: 2.1.17 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.17.
Plugin: WPSChoolPress Vulnerabilidad: Escrituras reflejadas entre sitios parchados en: 2.1.10 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 2.1.10.
Plugin: WPSChoolPress Vulnerabilidad: Más inyecciones de SQL parcheadas en la versión: 2.1.10 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.10.
2. Yith WooCommerce Multi Vendor
Plugin: SquareType Myith WooCommerce Vulnerabilidad de múltiples proveedores: Escrituras reflejadas entre sitios parcheados en la versión: 3.8.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.8.1.
3. Print-O-Matic
Plugin: Print-O-Matic Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 2.0.3 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.3.
4. Registro de pastel
Plugin: Vulnerabilidad del registro de PIE: inyección SQL no autorizado parcheado en la versión: 3.7.1.6 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.7.1.6.
Plugin: Vulnerabilidad del registro de PIE: inyección SQL no autorizado parcheado en la versión: 3.7.1.6 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.7.1.6.
5. Cupón de afiliado para WooCommerce
Plugin: Afiliados de cupón para la vulnerabilidad de WooCommerce: eliminación de visitas arbitrarias de envío a través de CSRF parcheado: 4.11.3.4 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.11.3.4.
6. Maz Charger
Plugin: Vulnerabilidad de Maz Lader: contribuyente+ inyección SQL parcheada en la versión: 1.3.3 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 1.3.3.

7. El texto del sótano de la tienda de complementos: el texto del sótano de la tienda de vulnerabilidades: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedios: mediano
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 6 de octubre de 2021. Desinstalar y eliminar.
8. Complemento de Lite Lite de la herramienta del cuestionario: Vulnerabilidad de Lite Lite Tool: Administración múltiple+ Escrituras entre sitios almacenados corregidos en la versión: No se conoce la puntuación del complemento cerrado de remedio: Bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 28 de septiembre de 2021. Desinstalar y eliminar.
9. Plugin QwizCards: QwizCards Vulnerabilidad: Administrador+ Scripting de almacenamiento cruzado parcheado en la versión: 3.62 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.62.
10. LOCO Translate
Complemento: loco traducir vulnerabilidad: inyección de php php autenticado parcheado en la versión: 2.5.4 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.4.

11. Ipanorama 360 WordPress Virtual Tour Builder
Plugin: Ipanorama 360 WordPress Virtual Tour Builder Vulnerabilidad: CSRF en scripts almacenados entre sitios parcheados: 1.6.22 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.22.

12. Visión Interactiva para WordPress
Plugin: Visión Interactiva para la vulnerabilidad de WordPress: Escrituras reflejadas entre sitios parchados en la versión: no se sabe una puntuación de gravedad: esta vulnerabilidad no se ha corregido. Desinstale y borre el complemento hasta que se libere un parche.
13. ImageLinks Interactive Image Builder para WordPress

Plugin: ImageLinks Interactive Image Builder para WordPress Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: Se desconoce una puntuación de gravedad: Genial
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
14. Plugin WordPress Personalizados JS y CSS fácilmente

Plugin: Vulnerabilidad de WordPress JS y CSS ligeramente personalizada: Escrituras reflejadas entre sitios parcheados en la versión: Se desconoce una puntuación de gravedad: alto
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
15. Ipages Flipbale para WordPres

Plugin: Ipages Flipbook para Vulnerabilidad de WordPress: Escrituras reflejadas entre sitios parcheados en: 1.4.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.3.
16. 404 a 301

Complemento: de 404 a 301 vulnerabilidad: eliminación de revistas por CSRF parcheado en la versión: 3.0.9 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.9.
17. post espirator

Complemento: vulnerabilidad post espiratoria: contribuyente+ programa arbitrario parcheado en la versión: 2.6.0 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.22.
18. Imágenes del encabezado de WPPLUGIN: Imágenes del encabezado WP Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 2.0.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.1.
19. suscripciones y suscripciones para el complemento de PayPal: suscripciones y suscripciones para la vulnerabilidad de PayPal: scripts cruzados reflejados a través de los parámetros de la página corregidos en la versión: no hay remedio conocido: puntaje de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado desde el 30 de septiembre de 2021. Desinstalar y eliminar.

20. Acepte donaciones con PayPal
Plugin: Acepte donaciones con vulnerabilidad de PayPal: scripts cruzados reflejados a través de los parámetros de la página parcheados en la versión: 1.3.1 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.1.
21. Eventos del complemento de PayPal: PayPal Vulnerabilidad Eventos: Scripts cruzados reflejados a través de los parámetros de la página corregidos en la versión: No hay remedio conocido – Puntuación de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado desde el 30 de septiembre de 2021. Desinstalar y eliminar.

22. Gerente de encabezado de Subsol
Plugin: Administrador de vulnerabilidad del código de pie de página: Admin+ SQL Inyecciones parcheadas en: 1.1.14 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.14.
23. WPDISCUZ
Plugin: Vulnerabilidad de WPDiscuz: Adición/Edición/Delección de un comentario arbitrario a través de CSRF parcheado en la versión: 7.3.4 Puntuación de gravedad: promedio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.3.4.24. Plugin de lite de impresión 3D: Vulnerabilidad de Lite de impresión 3D: Escrituras reflejadas entre sitios parcheados en la versión: 1.9.1.6 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.1.6.
25. Foro de Asgaros

Plugin: Vulnerabilidad del foro de Asgaros: eliminación de redirección a través de CSRF parcheado en la versión: 1.15.13 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.15.13.
26. WP SEO Redirect 301 Plugin: WP SEO Redirect 301 Vulnerabilidad: Eliminación de redirección a través de CSRF parcheado en la versión: 2.3.2 Puntuación de gravedad: Medium
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.2.
27. WCFM – Gerente de frontend para WooCommerce

Plugin: WCFM-Front-End Manager para la vulnerabilidad de WoCommerce: Inyección de cliente/suscriptor+ SQL parcheado en la versión: 6.5.12 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.5.12.
28. Gerente de afiliados
Plugin: Vulnerabilidad del administrador de afiliados: Admin+ SQL Inyecciones parcheadas en: 2.8.7 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.8.7.

29. Publicaciones similares
Plugin: Vulnerabilidad de publicaciones similares: Admin+ Ejecución arbitraria del PHP parcheado en la versión: 3.1.6 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.6.

30. Tabla con productos de WooCommerce
Plugin: WooCommerce Productos Vulnerabilidad de la tabla: Escrituras reflejadas entre los sitios parchados en la versión: 1.0.4 SCUENTA DE GRAVE: Se corrige medio, por lo que debe actualizarse a la versión 1.0.4.
31. Gerente de descuento de productos

Plugin: Administrador de descuento para la vulnerabilidad de los productos: Escrituras reflejadas entre sitios parchados en la versión: 3.4.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.5.
32. Testimonial Builder

Plugin: testimonial Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.6.0 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.0.
33. Brizy

Complemento: vulnerabilidad de Brizy: autorización incorrecta para publicar cambios parchados en: 2.3.12 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.12.
Plugin: Brizy Vulnerabilidad: Escrituras entre sitios almacenados autenticados parcheados en: 2.3.12 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.12.

Complemento: vulnerabilidad de Brizy: cargando el archivo autenticado y cruzar la ruta parcheada en la versión: 2.3.12 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.12.

34. Categorías de color
Plugin: Categorías coloridas Vulnerabilidad: Actualización de colores arbitrarios a través de CSRF parcheado en la versión: 2.0.15 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.15.
35. WP Cache más rápido
Plugin: WP Vulnerabilidad de caché más rápida: Inyección de suscriptor+ SQL parcheado en la versión: 0.9.5 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 0.9.5.
Plugin: WP Vulnerabilidad de caché más rápida: CSRF en scripts almacenados entre sitios parcheados: 0.9.5 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.9.5.

36. Gerente de Negocios
Plugin: Business Manager Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: No hay remedio conocido de gravedad: Low
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.

37. Job Board Vanila Plugin: Job Board Vanila Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: No se conoce la puntuación del complemento cerrado de remedio: Bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.
38. Lista de trabajos WPGenius Plugin: Lista de trabajos WPGenius Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: No se conocen Remedios Cerrado cerrado Puntuación: Bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.
39. Manager de trabajo del complemento: Vulnerabilidad del gerente de trabajo: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: No se conoce la puntuación del complemento cerrado de remedio: Low

Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.40. Portal de trabajo del complemento: Vulnerabilidad del portal de trabajo: Administrador+ scripts entre sitios almacenados corregidos en la versión: no se conoce la puntuación del complemento cerrado de remedio: Low
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.
41. MyBB Plugin Cross-CoSter: MyBB Vulnerabilidad de patrimonio cruzado: Administrador+ Escrituras entre sitios almacenados Correcto en la versión: No se conoce la Severidad del complemento cerrado de remedio: Low
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.
42. Notificaciones de administración del complemento KJM: Notificaciones del administrador de KJM Vulnerabilidad: Autorización incorrecta para post modificación corregida en la versión: No hay remedio conocido – Puntuación de complemento cerrado: bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 13 de octubre de 2021. Desinstalar y eliminar.
43. Hal
Plugin: Vulnerabilidad de HAL: Administrador+ Escrituras entre sitios almacenados parcheados en: 2.2 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.
44. La caja de biografía del autor
Plugin: Vulnerabilidad de la caja biográfica del autor: Administrador+ Escrituras entre sitios almacenados parcheados en: 3.4.0 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.0.
45. WordPress + Microsoft Office 365
Plugin: WordPress + Microsoft Office 365 Vulnerabilidad: Escrituras entre sitios almacenados no autorizados en la versión: 15.4 Puntuación de gravedad: CriticVulnerabilidad se correge, por lo que debe actualizarse a la versión 15.4.
46. ​​Encuesta de yop

Plugin: Encuesta de vulnerabilidad de YOP: Autor+ almacenamiento de secuencias de comandos de sitios cruzados por opciones parchadas en la versión: 6.3.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.3.1.
Plugin: Encuesta de vulnerabilidad de YOP: Autor+ scripts entre sitios almacenados por el módulo de vista previa parchada en la versión: 6.3.1 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.3.1.
47. De hecho, el complemento del importador de trabajo: de hecho, la vulnerabilidad del importador de trabajo: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: no se conoce la puntuación del complemento cerrado de remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 14 de octubre de 2021. Desinstalar y eliminar.

48. MPL-Publisher-Self Publicing Your Book and Electronic Book
Plugin: MPL-Publisher-Self Publicing Your Book y Electronic Book Vulnerabilidad: Administrador+ Scripts entre sitios almacenados parcheados: No hay remedio conocido de gravedad: bajo
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.

49. Jobboardwp Plugin: Jobboardwp Vulnerabilidad: Autorización incorrecta para publicar la modificación corregida en la versión: Sin remedio conocido – Puntuación de complemento cerrado: Bajo
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado a partir del 14 de octubre de 2021. Desinstalación y eliminación.
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.4.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Escanee diariamente por las vulnerabilidades conocidas de los sitios web Ithemes Security Pro Scans por la razón principal por la cual los sitios de WordPress están rotos: complementos y temas obsoletos con vulnerabilidades conocidas.
2. Actualización automática de versiones seguras La función de administrar el ITHEMS Security Pro está integrado con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.

3. Los cambios en el monitor de cambios CHEIA para la identificación rápida de una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezcan los cambios en su sitio web OBBOB ITHEMES SEGURIDAD PRO con el Las 24 horas del día, 24/7, el sitio web de Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad habitual. WordPress Security. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada

Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro