Informe de vulnerabilidad de WordPress: junio de 2021, Parte 3

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe de junio, Parte 3
¡Obtenga el informe semanal de vulnerabilidad de WordPress entregado directamente en el cuadro de correo electrónico!
Regístrate ahora
Vulnerabilidades básicas de WordPress A partir de hoy, la versión actual de WordPress es 5.7.2. ¡Asegúrese de actualizar todos sus sitios web!
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress. Asegúrese de ejecutar WordPress 5.7.2 en todos sus sitios.
Vulnerabilidades de complemento de WordPress
1. Recientemente

Complemento: vulnerabilidad reciente: código parcheado autenticado en la versión: 3.0.5 Gravedad: Genial
Plugin: Vulnerabilidad reciente: Escrituras cruzadas almacenadas autenticadas parcheadas en la versión: 3.0.5 Gravedad: Promedio 2. Publicaciones populares de WordPress

Plugin: publicaciones populares Vulnerabilidad de WordPress: código parcheado autenticado en la versión: 5.3.3 Puntuación de gravedad: Alto complemento: Publicaciones populares de WordPress Vulnerabilidad: Escrituras de asado autenticado en la versión: 5.3.3 Puntuación de gravedad: promedio 3. Refuerzo WPPLUGIN: Refuerzo WP WP Vulnerabilidad: scripts cruzados reflejados por parchado en la versión: 1.2.2 Puntuación de gravedad: medio

Complemento: refuerzo WP Vulnerabilidad: scripts entre sitios reflejados por la historia parcheada en la versión: 1.2.2 Puntuación de gravedad: alto 4. Comentarios que no me gustan
Plugin: Comentarios que no me gustan la vulnerabilidad: Agregar Bypass aprecia / No me gusta Parche en la versión: 1.1.4 Puntuación de gravedad: Medio 5. Editor de archivos de configuración WP

Plugin: WP Config Archive Editor Vulnerabilidad: Escrituras cruzadas autenticado almacenado en la versión: No hay remedio conocido de gravedad: Medium 6. Columnas de administración gratuita y Pro

Plugin: columnas de administración gratuita Vulnerabilidad: Escrituras cruzadas almacenadas autenticadas parcheadas en la versión: 4.3 Puntuación de gravedad: Medio

Plugin: columnas de administración de vulnerabilidad PR: Escrituras cruzadas almacenadas parcheadas en la versión: 5.5.1 Puntuación de gravedad: 7. WP Google Maps
Plugin: WP Google Maps Vulnerabilidad: Escrituras de sitios cruzados almacenadas autenticadas parcheadas en la versión: 8.1.12 Puntuación de gravedad: Medio 8. pasarela de pago para wooCommerce

Plugin: Stripe Pague Guerdway para la vulnerabilidad de WooCommerce: Escrituras entre sitios reflejados parcheados en: 3.6.0 Puntuación de gravedad: Alto 9. QTRANSLATE SLUG Plugin: QTranslate Slug Vulnerabilidad: CSRF Bypass corregido en la versión: Sin remedio de la gravedad de la gravedad: Medio10. Plugin de complemento CSS-JS-PHP: Vulnerabilidad CSS-JS-PHP: Bypass CSRF Corregido en la versión: No hay remedio conocido de gravedad: Medio 11. Roles de complementos múltiples: Vulnerabilidad múltiple: CSRF Bypass corregido en la versión: Sin reserva conocida de gravedad: Medio ambiente 12. Solución del mercado multivendor para wooCommerce

Plugin: Solución del mercado multivendor para la vulnerabilidad de WooCommerce: Bypass CSRF parcheado en la versión: 3.74 Puntuación de gravedad: Medio
13. Joomsport

Plugin: Joomsport Vulnerabilidad: inyección de objetos PHP no autorizados parcheados en la versión: 5.1.8 Puntuación de gravedad: Medio

14. Smart Slider 3

Plugin: Smart Slider 3 Vulnerabilidad: Escrituras cruzadas ubicadas parcheadas en la versión: 3.5.0.9 Puntuación de gravedad: Medio ambiente 15. Política en cookies de luz Plugin: Cookies de luz Política: Control de acceso a scripts almacenados en muchos sitios Corregidos en la versión: No conocido Remedio del puntaje de gravedad: High 16. Welcart E-Commerce
Plugin: Welcart E-Commerce Vulnerabilidad: Scripting de sitio cruzado parcheado en la versión: 2.2.4 Puntuación de gravedad: Medio ambiente 17. Oración del complemento WP: Vulnerabilidad de oración de WP: Actualice la configuración arbitraria del complemento a través de CSRF parcheado en la versión: 1.6.7 Puntuación de gravedad: medio

Vulnerabilidades del tema de WordPress 1. Jannahtema: Jannah Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 5.4.4 Puntuación de gravedad: High 2. Tema motor

Tema: Vulnerabilidad Motor Tema: Inclusión de archivos locales inalcanzables parcheados en la versión: 3.1.0 Puntuación de gravedad: High 3. Real Estate 7
Tema: Real Estate 7 Vulnerabilidad: 3.1.1 Corregido en la versión: Cross Scripts Reflejó el puntaje de gravedad: Alta Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelará una vulnerabilidad si les da a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software.

Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, ya sea que se haya reparado o no la vulnerabilidad. Obtenga una alerta de correo electrónico cuando IThemes Security Pro encuentra una vulnerabilidad conocida a su sitio. El escáner de complementos de seguridad de iThemes es otra forma de asegurar y proteger El sitio web de WordPress para la primera causa de todos los hacks de software: complementos obsoletos y temas con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. El complemento IThemes Security Pro puede enviarle los resultados de un escaneo de sitio si encuentra complementos vulnerables, temas o la versión básica de WordPress en su sitio. Los resultados del sitio se mostrarán en Widget.

Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
Después de activar el escaneo del sitio, vaya a la configuración del centro de notificación del complemento. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio. Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Obtenga iThems Security Pro para asegurar su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. ¿Obtener IThemes Security Pro se ha perdido alguno de los informes de vulnerabilidad de WordPress en junio? Seguir debajo:
Junio ​​de 2021, Parte 1

Junio ​​de 2021, Parte 2

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.