homefinance blog
Las nuevas vulnerabilidades del complemento y el tema de WordPress se revelaron en la segunda semana de abril. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. Las evaluaciones de gravedad se basan en el sistema de observar vulnerabilidad común.
En el informe de abril, Parte 2
Vulnerabilidades básicas de WordPress
¡Buenas noticias! Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
La última versión de WordPress es actualmente 5.7. Asegúrese de que todos sus sitios web estén ejecutando la última versión de WordPress Core. Vulnerabilidades de complementos de WordPress Esta sección cubre vulnerabilidades en complementos de WordPress con instrucciones actualizando o eliminando el complemento vulnerable.
1. Ithemes Security Free & Pro
Vulnerabilidad: Oculte el backend parcheado en la versión (Iithems Security): 7.9.1 Parcheado en la versión (IThemes Security Pro): 6.8.4 Gravedad: GRANDE – CVSS: 3.1AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: H / A: H /
La función oculta el backend de la seguridad de Ithemes permite a los usuarios ocultar la página de conexión cambiando su nombre y evitando el acceso a wp-login.php y wp-admin. Se descubrió un error en las versiones inferiores a 7.9.1 de la seguridad de Ithemes y por debajo de 6.8.4 de Ithemes Security Pro, que hace que la página de conexión oculta sea visible, reduciendo la eficiencia característica .4 A IThemes Security Pro para recibir la solución de derivación oculta .
Nota: Debe saber que la función de ocultación del backend no está completa, sin importar cuánto intentemos mejorarla. De hecho, la eficiencia de ocultar la página para conectar su sitio web por razones de seguridad es nuestro mito de seguridad de WordPress # 1. ¿Por qué? La verdad es que no puede ocultar completamente su sitio web Back End. La página de autenticación puede verse expuesta por el núcleo, complementos o temas de WordPress al imprimir enlaces a la página de autenticación (como confirmaciones de confidencialidad o formularios de autenticación front-end).
Hide Backend no debe usarse como sustituto de medidas de seguridad del sitio web más altas, como aplicar contraseñas seguras y autenticación con dos factores.
2. Miembro simple
Vulnerabilidad: inyecciones SQL autenticado parcheado en la versión: 4.0.4 Gravedad: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: H / I: H / A: ESO
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.0.4.
3. Portapapeles WPBakery Page Builder Vulnerabilidad: Suscriptor + Escrituras entre sitios almacenados parcheados en: 4.5.6 Gravedad: Crítico – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: Lvulnerabilidad: Actualización de licencia arbitraria no autorizada parcheada en la versión: 4.5.8 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: N / I: L / A: N
Se repara la vulnerabilidad, por lo que debe actualizarse a la versión 4.5.8+
4. OpenID Connect Vulnerabilidad genérica del cliente: Escrituras entre sitios reflejados parcheados en: 3.8.2 Severidad: promedio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.8.2+.
5. Detente a los spammers
Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 2021.9 Severidad: promedio – CVSS: 3.1 / AV: N / AC: H / PR: N / UI: R / S: C / C: L / I: L / A: N
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2021.9.
6. Imágenes de vulnerabilidad: Carga de archivos de arbitraje no autorizados corregidos en la versión: No Gravedad conocida: Critical – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I : H / A: H
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
7. WorksCout Core Plugin Vulnerabilidad: XSS y XFS almacenados autenticado parcheado en la versión: 1.3.4 Gravedad: Genial – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.4+.
8. Vulnerabilidad de calendario de Larsens: Cross Writles almacenadas corregidas en la versión: No se conoce severidad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
9. Vulnerabilidad de contacto Formulario de contacto Tester: Control de acceso a scripts entre sitios corregidos en la versión: No conocido remedio: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
10. complemento para directorio de negocios
Vulnerabilidad: Listado arbitrario parcheado en la versión: 5.11.2 Gravedad: GRANDE – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: N / A: N Vulnerabilidad: Actualización arbitraria del historial de pago parcheado en la versión: 5.11.2 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: N / I: L / A: N Vulnerabilidad: Cross -Sitte Escrituras almacenadas autenticadas parcheadas en la versión: 5.11.2 Gravedad: Promedio – CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.11.2+.
11. Banner of Events Vulnerabilidad: Carga arbitraria de archivos en RCE Corregido en la versión: No se conoce la gravedad de la gravedad: CRÍTICO – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
12. Vulnerabilidad clásica de filetes: carga de archivos de arbitraje autenticado en RCA corregido en la versión: No se conoce severidad: crítico – CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
13. Importación de la vulnerabilidad del editor universitario: Carga de archivos arbitrarios en RCE corregido en la versión: No conocido remedio: crítico – CVSS: 3.1 / av: n / ac: l / pr: n / ui: r / s: c / c: h / I: H / A: H
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
Vulnerabilidades del tema de WordPress
1. Vulnerabilidad básica del tema del tema: XSS y XFS almacenados autenticado parchado en la versión: 2.0.33 Gravedad: Genial – CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / L / I: L / A: L
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.33+.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.
