Noticias de vulnerabilidad de WordPress, noviembre de 2021

La vulnerabilidad de WordPress significa debilidad de WordPress. En esta publicación de noticias sobre la vulnerabilidad de WordPress en noviembre, nos centraremos en los complementos vulnerables de WordPress y los problemas de seguridad de WordPress descubiertos en octubre de 2020 y noviembre de 2020. La parte más importante y crucial de la seguridad es mantenerse al día con las vulnerabilidades de seguridad en CMS, como como WordPress y entre otros. Es por eso que analizamos los complementos susceptibles y el último punto débil revelado para garantizar que su sitio funcione sin problemas, sin usar tales complementos y actualizaciones sin protección.
Su sitio web estará protegido de toda seguridad y vulnerabilidades si utiliza la aplicación web. Pero el mejor método alternativo para que su sitio sea seguro es eliminar o actualizar complementos sin protección en sus sitios WordPress Vulnerabilidad News, octubre de 2020 WordPress + Microsoft Office 365

Para acceder a su sitio web de WordPress, los usuarios pueden conectarse con su escuela o cuenta de la empresa con WPO365 | Iniciar sesión. Contraseña y no se requiere nombre de usuario. Además, podrá enviar correos electrónicos con la ayuda de Microsoft Graph en lugar de usar SMTP desde su sitio web.
Vulnerabilidad: omitiendo la verificación de la firma JWT resuelta en la versión: 11.7 Sitios web totales afectados: más de 1000 Este complemento no verifica las firmas JWT, no permite verificaciones de autorización, omitir autentificaciones y permite que los atacantes formen tokens. Slisor de 10web

Slider de 10Web es un método alternativo para agregar cargas receptivas y aceleradas al tema, publicaciones y páginas del sitio o en cualquier otra ubicación. Este complemento es compatible con videos e imágenes y permite la adición de ambos contenidos en las diapositivas. Puede agregar fácilmente diferentes efectos de transición. Vulnerabilidad: inyección SQL autenticada múltiple en la versión: 1.2.36 Sitios web totales afectados: más de 50,000 Las dos funcionalidades vulnerables de este complemento son Save_Slider_DB y Bulk_Action, export_full. Estas dos funcionalidades permiten a los usuarios autorizados o administrados o medianos como contribuyente+ “opción de roles” supone que el otro usuario se activa para realizar un ataque conocido como inyecciones SQL. La fecha de la declaración POC fue el 13 de octubre de 2020, que ofrece actualizaciones a los usuarios de vez en cuando. Cursos de WP
WP Courses es un complemento gratuito de WordPress que se puede utilizar para que LMS administre y cree cursos en su sitio con herramientas deslizantes y de colocación, una interfaz intuitiva, tutoriales en video y más. Este complemento tiene más de 900 instalaciones activas.

Este complemento se puede agregar con cualquier otra plantilla porque funcionará sin problemas. También viene con tantas opciones que lo ayudarán a igualar su visión y diseño de su sitio web. Este complemento es fácil de navegar, ya que no requiere ninguna codificación o conocimiento técnico. Vulnerabilidad: conduce a la divulgación del contenido de los cursos debido a los controles de acceso interrumpidos resueltos en la versión: 2.0.29 Sitios web totales afectados: más de 20,000 a través de la API REST de WordPress, el problema en los cursos de WP podría hacer sus platos disponibles. Simple: presionando su sitio de WordPress, Simple: Press es un software de foro. Con algunas funciones adicionales, puede comenzar el foro fácilmente. Está integrado en el modelo de seguridad y el modelo de usuario de WordPress y se puede erigir para miles de usuarios. A pesar de otros complementos del foro, las características de este complemento son creadas y respaldadas por organizaciones. La opción está disponible para eliminación o desinstalación, integrada con autenticación y registros de WordPress, integración de complementos para miembros y más. Vulnerabilidad: conduce a RCE debido al control del acceso interrumpido resuelto en la versión: 6.6.1 Sitios web totales afectados: más de 600
El problema de controlar el acceso interrumpido en el complemento simple: Press ha sido remediado, lo que afecta la versión 6.6.0 y a continuación. El complemento XCloner

Este complemento lo ayudará a restaurar y hacer una copia de seguridad de su sitio de WordPress. Vulnerabilidad: demanda de falto en varios sitios resueltos en: 4.2.13 Sitios web totales afectados: se pueden enviar más de 30,000 respaldos de sitios web a Google Drive, SFTP, Amazon, Dropbox, Backblaze y en otras ubicaciones. Automáticamente o manualmente, puede crear niños de repuesto con un planificador incorporado en XCloner. Por las actualizaciones automáticas básicas de WordPress, temas, complementos o archivos de idioma. Las personas que buscan un sitio web seguro y la confidencialidad deben elegir XCloner. Tire y coloque la carga de archivos múltiples – Formulario de contacto 7
Este complemento es fácil de usar y una extensión simple, especialmente para el formulario de contacto 7. Este complemento permitirá a los usuarios agregar diferentes archivos usando funciones de arrastrar y soltar. También puede agregar un archivo de navegación común del formulario web.

Las características de este complemento se limitan a la cantidad de archivos cargados, restringen el tamaño del archivo para cada campo, receptivo móvil, acepten cualquier navegador, acepte más idiomas, barra de barbacoa, función de deslizamiento y colocación, tamaño de archivo, validación de tipo de archivo, y así sucesivamente. Vulnerabilidad: ejecución del código de distancia no verificado resuelto en la versión: 1.3.5.5 Sitios web totales afectados: más de 20,000 esta herramienta utiliza la lista negra de extensiones de archivos peligrosas que no le permiten cargar. Sin embargo, las extensiones .phpt y .phar no estaban en la lista negra, que no se puede usar para agregar código PHP arbitrario. Otras 25 WordPress con vulnerabilidades a los ataques CSRF se descubrieron, algunos de ellos son
Profección de suscripción pagada

Creador de cupones

Funner Builders
Botones de radio para taxonomías
Cronología genial
Testimonios de luz
Dokan
RSS agregado de Feedly
Reserva del hotel WP
Gerente de Proyecto WP y más.
Publicación relacionada: La mejor tarea de WordPress para personas sin hogar para que los proyectos elijan para su próximo sitio web WordPress Vulnerabilidad News, 2020 CCPA GDPR Soporte
También se conoce como cumplimiento de Ninja GDPR para usuarios de WordPress.
Vulnerabilidad: inyección no oficial en el objeto PHP resuelto en la versión: 2.4 Sitios web totales afectados: más de 1000 complemento de asistencia para GDPR CCPA tiene más de 1000 instalaciones activas. Ha resuelto una vulnerabilidad insegura del desierto que afecta la versión 2.1 y debajo, lo que podría alcanzar la inyección no oficial de objetos PHP. El 17 de noviembre de 2020. POC se mostrará para actualizar a los usuarios con toda la información. WelCart E-CommerceWelCart es de uso gratuito. Tiene más de 20,000 instalaciones activas y está disponible en 3 idiomas diferentes, es decir, inglés (EE. UU.), Japonés y vietnamita. El 9 de octubre de 2020, la vulnerabilidad se descubrió en este complemento. Vulnerabilidad: inyección no oficial en el objeto PHP resuelto en la versión: 1.9.36 Sitios web totales afectados: más de 20,000 usuarios de WordPress pueden usar el complemento Welcart para crear un sitio de compras con una cuenta de cliente diferente. No usa la misma cookie que usa WordPress. Él usa el suyo. Esto te ayuda a rastrear las sesiones de los usuarios. Con este complemento, podrá vender cualquier tipo de productos, incluidos productos de suscripción, productos digitales y productos físicos. No hay límite especificado para el número de fotografías de artículos, productos y categorías. Acceder a íconos sociales
Podrá crear diferentes iconos sociales y agregar un enlace a sus cuentas de redes sociales directamente desde el sitio. Tiene más de 40,000 instalaciones activas y acepta WordPress versión 4.5 y una versión posterior. Vulnerabilidad: inyección SQL autenticada en la versión: 1.8.1 Sitios web totales afectados: más de 40,000 su atributo de widget no ha sido desinfectado con este complemento, permite que las cuentas de permiso posteriores, por ejemplo, el autor, ejecute inyecciones SQL. Muy fácil, una persona desconocida también puede conectarse con los perfiles sociales en el sitio. Puede crear y personalizar los íconos maravillosamente por su cuenta. Se proporcionan 12 conjuntos diferentes que se pueden usar para seleccionar los iconos. Las características principales de este complemento son la fácil integración, consejos para herramientas, varios estilos, en vivo, receptivos, interactivos, propios modelos y más. WordPress Version WordPress 5.5.2 se lanzó el 29 de octubre de 2020. Esta versión se introdujo para remediar los problemas afectados por WordPress 5.5, incluida la vulnerabilidad de XSS reflejada. También resolvió algunos problemas de regresiones que se descubrieron en la Vulnerabilidad de la Versión 5.5: XSS reflejado en la versión: 5.5.2 Sitios web totales afectados: N/A en cada cuenta de usuario de WordPress y el sitio web del usuario, este problema es susceptible. El agresor podría engañar a un usuario que no sabe cómo hacer clic en un enlace infectado o visitar el sitio web atrapado. El nivel de victimización para este problema es promedio, porque necesita un tipo de ingeniería social. SW Ajax WooCommerce Search