Informe de vulnerabilidad de WordPress: julio de 2021, Parte 4

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Siendo uno de los mayores informes de vulnerabilidad de WordPress hasta ahora, comparta esta publicación con sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe de julio, parte 4
Regístrese en las actualizaciones semanales de seguridad y noticias semanales de WordPress
Suscríbase ahora
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complemento de WordPress 1. Verificación VDZ

Plugin: VDZ Vulnerabilidad Verinabilidad: almacenamiento XSS autenticado parcheado en la versión: 1.4 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4+.
2. Revocación VDZ

Plugin: VDZ Vulnerabilidad de devolución de llamada: almacenamiento XSS autenticado parcheado en la versión: 1.1.4.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.4.6.
3. Wonder pdf incrustar

Plugin: Wonder PDF Incorporación Vulnerabilidad: contribuyente + XSS almacenado parcheado en la versión: 1.7 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.4. Video maravilloso incrustado
Plugin: Wonder Video Incorporación Vulnerabilidad: Colaborador + XSS Standing Parche en la versión: 1.8 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.8.
5. Generador de perfil
Plugin: Generador de perfil de vulnerabilidad: Acceso al administrador por restablecimiento de contraseña parcheada en la versión: 3.4.9 Puntuación de gravedad: crítico

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.4.9.
6. Sistema de gestión de alquiler de automóviles VikrentCar
Plugin: Sistema de gestión de alquiler de automóviles de vulnerabilidad VIKRENTC: Cross Escrituras Loted almacenada (XSS) parcheado en la versión: 1.1.10 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.10.
7. Incruta de YouTube
Plugin: Vulnerabilidad de incrustación de YouTube: contribuyente + XSS almacenado parcheado en la versión: 5.2.2 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.2.2.
8. La auditoría de mi sitio
Plugin: Auditoría de la vulnerabilidad de mi sitio web: Escrituras de sitios cruzados autenticado (XSS) corregido en la versión: No hay remediación es remedio: medio

Desinstale y borre el complemento hasta que se libere un parche.
9. cinta social
Plugin: Vulnerabilidad de cinta social: CSRF en XSS almacenado corregido en la versión: No hay remediación es remedio de gravedad: alto

Desinstale y borre el complemento hasta que se libere un parche.
10. Telugu Bíblico verso diario
Plugin: Telugu Biblia Vulnerabilidad diaria: CSRF AT XSS almacenado corregido en la versión: No se remedia la puntuación de gravedad de la gravedad: elevado y elimine el complemento hasta que se lance un parche.

11. Stih-o-Matic
Plugin: Vulnerabilidad del verso-o-mami: CSRF en XSS almacenado corregido en la versión: No hay remediación es remedio de gravedad: alto
Desinstale y borre el complemento hasta que se libere un parche.

12. Redirección de autenticación personalizada
Complemento: redireccionamiento de la autenticación personalizada Vulnerabilidad: CSRF en XSS almacenado corregido en la versión: No hay remediación es remedio de gravedad: alto
Desinstale y borre el complemento hasta que se libere un parche.

13. Mensajes ligeros
Plugin: Vulnerabilidad de mensajes de luz: CSRF en XSS almacenado corregido en la versión: No hay remediación es remedio de gravedad: alto
Desinstale y borre el complemento hasta que se libere un parche.

14. Shantz WordPress Qotd
Plugin: Shantz WordPress QOTD Vulnerabilidad: Actualizar configuraciones arbitrarias por CSRF corregido en la versión: No hay remediación es remedio de gravedad: medio
Desinstale y borre el complemento hasta que se libere un parche.

15. Mi gerente de sitio de Phonetrack
Plugin: Site Manager Phonetrack My Vulnerabilidad: XSS almacenado autenticado en la versión: No hay remediación es remedio de gravedad: medio
Desinstale y borre el complemento hasta que se libere un parche.

16. reestera
Plugin: Vulnerabilidad de Restropress: llamadas AJAX no autorizadas parcheadas en la versión: 2.8.3.1 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.8.3.1.

Plugin: Vulnerabilidad de restricción: Manejo de la canasta a través de CSRF parcheado en la versión: 2.8.3 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 2.8.3.
17. Galería de fotos
Plugin: Galería de fotos de vulnerabilidad: XSS almacenado por SVG cargado en zip parcheado en la versión: 1.5.79 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.79.
Plugin: Galería de fotos de vulnerabilidad: Escrituras entre sitios almacenados por SVG cargado parcheado en la versión: 1.5.75 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.75.
Plugin: Galería de fotos de vulnerabilidad fotográfica: Cruzando la ruta de carga de archivo parcheado en la versión: 1.5.75 Puntuación de gravedad: Low
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.75.
18. Libros miméticos
Plugin: Vulnerabilidad Libros miméticos: escrituras de sitios cruzados autenticado (XSS) corregido en la versión: No hay remediación es remedio: medio
Desinstale y borre el complemento hasta que se libere un parche.
19. Los elementos elementales del complemento

Complemento: elementor complement elements vulnerabilidad: csrf bypass parcheado en la versión: 1.11.8 Puntuación de gravedad: baja
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.11.8.
20. COCED Pro Plugin: Coced Pro Vulnerabilidad: Scripts Cross Reflejados no autorizados (XSS) corregido en la versión: No hay remediación es remedio: medio

Desinstale y borre el complemento hasta que se libere un parche.
21. Formularios NEX
Plugin: NEX Forms Vulnerabilidad: Bypass de autenticación para Informes parcheados de Excel en la versión: 7.8.8 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 7.8.8.
Plugin: Formularios de vulnerabilidad NEX: Autenticación Bypass PDF parcheado en la versión: 7.8.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.8.8.

22. KN arregla tu título
Plugin: KN Fixes Título de vulnerabilidad: XSS almacenado autenticado corregido en la versión: No hay remediación es remedio de gravedad: baja
Desinstale y borre el complemento hasta que se libere un parche.
23. Regalo
Complemento: sorteo vulnerabilidad: inyección sql autentificado corregido en la versión: no hay remediación es remedio de gravedad: alto

Desinstale y borre el complemento hasta que se libere un parche.
24. Hm múltiples roles
Plugin: múltiples roles Vulnerabilidad HM: cambio arbitrario del papel corregido en la versión: no se sabe que la remediación por la gravedad: crítico

Desinstale y borre el complemento hasta que se libere un parche.
25. 10 vegetales constructor de mapas para mapas de Google
Plugin: 10web Map Builder para Google Maps Vulnerabilidad: almacenamiento XSS autenticado parcheado en la versión: 1.0.70 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.70.
26. Mantenimiento
Plugin: Mantenimiento de vulnerabilidad: almacenamiento XSS autenticado parcheado en la versión: 4.03 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.03.
27. Galería deslumbrante
Plugin: Vulnerabilidad de la galería de cuadrícula: Galería de red de fotos parchadas en la versión: 1.2.5 Puntuación de gravedad: Scatvulnerabilidad es reparación, por lo que debe actualizarse a la versión 1.2.5.

28. Buscar campos WP personalizados
Plugin: Buscar campos de vulnerabilidad WP personalizados: scripts cruzados reflejados no autorizados (XSS) parcheados en la versión: 1.0 Puntuación de gravedad: medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.

29. Google -Lainguaje Traductor
Plugin: Google Language Translator Vulnerabilidad: autenticación (autor +) Scripting de sitio cruzado (XSS) parcheado en la versión: 6.0.10 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.0.10.

Plugin: Google Language Translator Vulnerabilidad: Escrituras de sitios cruzados (XSS) parcheado en la versión: 6.0.10 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.0.10.
30. SendGrid

Complemento: sendgrid vulnerabilidad: autorización autenticada derivado en la versión: no se sabe que el remedio es severidad: medio

Desinstale y borre el complemento hasta que se libere un parche.
31. Newsplin
Plugin: Newsplin Vulnerabilidad: CSRF a las Escrituras entre sitios almacenadas correctamente en la versión: No hay remediación es remedio de gravedad: alto
Desinstale y borre el complemento hasta que se libere un parche.

32. Caridad – complemento para donaciones
Plugin: Caritable – Donación Vulnerabilidad del complemento: Cross Scripes -Sites autenticado (XSS) parcheado en la versión: 1.6.51 Puntuación de gravedad: baja
Se repara la vulnerabilidad, por lo que debe actualizarse a la versión 1.6.51.Pligin: Caritable – Vulnerabilidad del complemento de donación: almacenamiento de sitios cruzados no autorizados parcheado en la versión: 1.6.51 Puntuación de gravedad: baja

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.51.
33. LIBTERLMS
Plugin: LIFTERLMS Vulnerabilidad: vaya a las calificaciones / respuestas de otros estudiantes a través de IDOR parcheado en la versión: 4.21.2 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.21.2.
34. Interruptor de divisas de WooCommerce
Plugin: Vulnerabilidad al conmutador de divisas de WooCommerce: incluyendo autenticado local (con privilegios reducidos) parcheado en la versión: 1.3.7 Puntuación de gravedad: crítico
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.7.
35. Publicación simple

Plugin: Publicación de vulnerabilidad simple: Escrituras de sitios cruzados autenticado (XSS) corregido en la versión: No hay remediación es remedio: bajo
Desinstale y borre el complemento hasta que se libere un parche.
36. wpgraphql

Plugin: Vulnerabilidad de WPGraphql: Denegación del servicio parcheado en la versión: 1.3.6 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.6.
37. gtranslate

Complemento: vulnerabilidad de grandeadores: scripts cruzados reflejados (XSS) parcheados en la versión: 2.8.65 Puntuación de gravedad: medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.8.65.
38. Disponibilidad de calendario y calendario

Plugin: calendario y calendario de disponibilidad de disponibilidad: inyección SQL autenticada (suscriptor +) corregido en la versión: No se sabe que no se gravedad no se gravedad: alto y limpie el complemento hasta que se libere un parche.
39. Suscriptor de correo electrónico
Plugin: Vulnerabilidad del suscriptor de correo electrónico: Escrituras de sitios cruzados no autorizados (XSS) corregido en la versión: No hay remediación es remedio: alto

Desinstale y borre el complemento hasta que se libere un parche.
40. M-vslider
Complemento: m-vslider vulnerabilidad: inyección sql autenticada (admin +) corregida en la versión: no se sabe que la remediación se gravedad: alta

Desinstale y borre el complemento hasta que se libere un parche.
41. El estado del proyecto
Plugin: Estado del proyecto de vulnerabilidad: inyección SQL autenticada (admin +) corregida en la versión: No hay remediación es remedio de gravedad: alto

Desinstale y borre el complemento hasta que se libere un parche.
42. ACEIDS
Plugin: ACEIDS Vulnerabilidad: Acceso al archivo arbitrario autenticado (Admin +) corregido en la versión: Ninguna remediación es remedio de gravedad: medio

Desinstale y borre el complemento hasta que se libere un parche.
43. Administrador de enlaces rotos
Plugin: Vulnerabilidad del Administrador de enlaces rotos: inyección SQL autenticada (Admin +) corregida en la versión: No hay remediación es remedio de gravedad: medio

Desinstale y borre el complemento hasta que se libere un parche.
44. Edite los comentarios
Complemento: editar vulnerabilidad Comentarios: inyección sql no autorizado corregido en la versión: ninguna remediación es remedio de gravedad: alto

Desinstale y elimine el complemento hasta que se lance un parche.
Desinstale y borre el complemento hasta que se libere un parche.
45. Calendario simple de eventos

Complemento: calendario simple de eventos de vulnerabilidad: inyección SQL autenticada (admin +) corregida en la versión: ninguna remediación es remedio de gravedad: medio
Desinstale y borre el complemento hasta que se libere un parche.
46. ​​Calendario cronológico

Complemento: vulnerabilidad del calendario cronológico: inyección SQL autenticada (admin +) corregida en la versión: ninguna remediación es remedio de gravedad: alto
Desinstale y borre el complemento hasta que se libere un parche.
47. Paytm – complemento para donaciones
Complemento: paytm – complemento para donaciones vulnerabilidad: 1.3.2 – inyección SQL autenticada (admin +) corregida en la versión: no hay remediación remedio: medio
Desinstale y borre el complemento hasta que se libere un parche.

Vulnerabilidades del tema de WordPress 1. Periódico
Tema: Periódico de vulnerabilidad: Escrituras entre sitios reflejados parcheados en: 11 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 11.

Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchas vulnerabilidades de complementos y un tema de WordPress cada semana. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la pestaña de verificación del sitio en las características del complemento y haga clic en el cambio para activar el escaneo del sitio. Para activar un escaneo de sitio manual, haga clic en el botón de escaneo ahora desde la tarjeta de sitio de escaneo Scinity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página Detalles. En la página de vulnerabilidad del sitio de escaneo, verá si hay un disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones La función de gestión de versiones de seguridad de ITHEMS se integra con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza rápidamente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad que se encuentra por el sitio del escáner.

3. Obtenga una alerta de correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, vaya a la configuración del Centro de notificaciones de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio. Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
Obtenga iThemes Security Pro y descanse un poco más fácil esta noche, IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.