Informe de vulnerabilidad de WordPress: enero de 2022, Parte 2

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en el orden del número de instalaciones activas, en lugar de la fecha de divulgación.
¡Comparta esta publicación con sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos!
El contenido del informe del 12 de enero de 2022
Las vulnerabilidades básicas de WordPress
Núcleo de WordPress
Vulnerabilidades en el complemento de WordPress
1. Soporte de SVG
2. Activos de limpieza
3. suscripciones pagas pro
4. NEXTSCRIPTS: autogestivo para redes sociales
5. Búsqueda de marfil
6. Luz de alimentación social
7. Editor de estilo CSS visual
8. Entradas del formulario de contacto
9. Gerente avanzado de Chron
10. wplegalpages
11. Estadísticas de visitantes de WP (tráfico real)
12. Archivos malos
13. SupportCandy
14. Reorganizar productos de WooCommerce
15. Bloqueador de países de IP2Location
16. Asistencia extraordinaria: WordPress Helpdesk & Assistance Plugin
17. Catálogo de productos definitivos
18. Documento Informador
19. RVM – mapas de vectores receptivos
20. Medios
21. Woopra
22. Acceder al administrador de los derechos de usuario
23. El botón Yumoney
24. TrustMate.io Integración para WooCommerce25. Verdadero rango
26. WebHotelier para WordPress
Vulnerabilidades de complemento Premium
27. Advanced Cron Manager Pro
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
28. Formulario de contacto 7 pieles
29. Woorockets Nitro
30. Afiliado de Amazon
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus se lanzó el 6 de enero de 2022 como un lanzamiento de seguridad de ciclo corto. Debido a que WordPress 5.8.3 es una versión de seguridad, le recomendamos que actualice inmediatamente todos los sitios.
Puede actualizar a WordPress 5.8.3 descargando desde WordPress.org o visitando la Junta de WordPress> Actualizaciones y haciendo clic en Actualizar ahora. Si tiene sitios que han activado actualizaciones automáticas en segundo plano, ya debería haberse actualizado con éxito. Vulnerabilidad del núcleo de WordPress: inyección SQL a través de WP_QUEY parcheada en la versión: 5.8.3 Explicación: Debido a la falta de higiene adecuada en WP_Meta_Query, existe el potencial de inyección SQL ciega.
La vulnerabilidad se ha corregido, así que asegúrese de ejecutar WordPress 5.8.3.
Vulnerabilidad: Autor+ XSS almacenado por Post Slugs parcheados en la versión: 5.8.3 Explicación: Los usuarios autenticados con privilegios reducidos (como el autor) en el núcleo de WordPress pueden ejecutar JavaScript/hacer ataques XSS almacenados por Post Slugs, que pueden afectar los usuarios con altos privilegios.
La vulnerabilidad se ha corregido, así que asegúrese de ejecutar WordPress 5.8.3.vulnerabilidad: inyectar objetos súper administradores en varios sitios parcheados en la versión: 5.8.3 Explicación: En un sitio múltiple, los usuarios con super administrador pueden evitar el fortalecimiento explícito/adicional bajo ciertas condiciones inyectando el objeto.
La vulnerabilidad se ha corregido, así que asegúrese de ejecutar WordPress 5.8.3.
Vulnerabilidad: inyección SQL a través de wp_meta_query parcheada en la versión: 5.8.3 Explicación: Debido a la falta de higiene adecuada en WP_Meta_Query, existe el potencial de inyección SQL ciega.
La vulnerabilidad se ha corregido, así que asegúrese de ejecutar WordPress 5.8.3.
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, instalaciones activas, número de versión, si se corrige el grado de gravedad. 1. Soporte de SVG
Plugin: SVG Vulnerabilidad de soporte: Administrador+ scripts entre sitios almacenados Instalación activa: 800.000+ parcheado en la versión: 2.3.20 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.20.

2. Activos de limpieza
Plugin: Vulnerabilidad de limpieza de activos: Scripting de sitios cruzados reflejada por Ajax Instalación activa: más de 100,000 ° parcheado en la versión: 1.3.8.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.8.5.

Plugin: Vulnerabilidad de limpieza de activos: Escrituras reflejadas entre los sitios de instalación activos: más de 100,000 parcheados en la versión: 1.3.8.5 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.8.5.3. Suscripciones pagas Pro
Plugin: suscripciones pagas Vulnerabilidad PRO: inyección SQL Instalación activa ciego no autorizada: más de 100,000 ° parcheado en la versión: 2.6.7 Puntuación de gravedad: Critic
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.6.7.
4. NEXTSCRIPTS: autogestivo para redes sociales

Plugin: NEXTSCRIPTS: Posteración automática para redes sociales Vulnerabilidad: Deletión posbbitraria posterior a CSRF Instalación activa: 90,000+ Patchado en la versión: 4.3.25 Puntuación de gravedad: Medium
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.3.25.
Plugin: NEXTSCRIPTS: Auto-subteres para las redes sociales Vulnerabilidad: XSS Almacenamiento no autorizado Instalación activa: 90,000+ Patchado en la versión: 4.3.25 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.3.25.
5. Búsqueda de marfil
Plugin: Vulnerabilidad de búsqueda de marfil: contribuyente+ script de almacenamiento Instalación activa: 80.000+ parcheado en la versión: 5.4.1 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.4.1.
6. Luz de alimentación social

Plugin: Vulnerabilidad social de alimentación social: reflejar la instalación activa de secuencias de comandos de sitios cruzados (XSS): más de 70.000+ en la versión: 6.2.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.2.7.
7. Editor de estilo CSS visual

Plugin: Visual CSS Style Editor Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 50,000+ Patchado en la versión: 7.5.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.5.4.8. Entradas desde el formulario de contacto
Complemento: entradas de la vulnerabilidad del formulario de contacto: Escrituras entre sitios almacenados no autorizados: 40,000+ Patched en la versión: 1.1.7 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.7.
9. Gerente avanzado de Chron
Plugin: Vulnerabilidad avanzada de Chron Manager: suscriptor+ creación/eliminación de eventos/programas arbitrarios Instalación activa: 30,000+ Patchado en la versión: 2.4.2 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.2.
10. wplegalpages
Plugin: WplegalPages Vulnerabilidad: Suscriptor+ Actualización de configuraciones arbitrarias en XSS Storage Instalación activa: 20,000+ Patchado en la versión: 2.7.1 Puntuación de gravedad: Medium

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.1.
11. Estadísticas de visitantes de WP (tráfico real)
Complemento: estadísticas de visitantes de WP (tráfico real) Vulnerabilidad: suscriptor+ inyección de SQL Instalación activa: 20,000+ Patchado en la versión: 4.8 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.8.
12. Archivos malos
Complemento: carpetas malvadas vulnerabilidad: suscriptor+ inyección de SQL Instalación activa: 10.000+ parcheado en la versión: 2.8.10 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.8.10.
13. SupportCandy
Plugin: SupportCandy Vulnerabilidad: contribuyente+ scription de almacenamiento Instalación activa: 10.000+ parcheado en la versión: 2.2.7 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la Versión 2.2.7.Plus: SupportCandy Vulnerabilidad: CSRF en Instalación activa de secuencias de comandos de sitios cruzados: 10.000+ parcheado: 2.2.7 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.7.
Plugin: SupportCandy Vulnerabilidad: eliminación arbitraria del boleto a través de CSRF Instalación activa: 10.000+ parcheado en la versión: 2.2.7 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.7.
Plugin: SupportCandy Vulnerabilidad: eliminación arbitraria no autorizada del boleto de instalación activa: 10.000+ parcheado en la versión: 2.2.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.7.
Plugin: SupportCandy Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: más de 10,000 parcheados en la versión: 2.2.7 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.7.
14. Reorganizar productos de WooCommerce
Plugin: Reorganizar productos de vulnerabilidad de WooCommerce: Injection de suscriptor+ SQL Instalación activa: 10.000+ parcheado en la versión: 3.0.8 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.8.
15. Bloqueador de países de IP2Location
Plugin: IP2Location Vulnerabilidad del bloqueador de países: Prohibición arbitraria del país a través de CSRF Instalación activa: 10.000+ parcheado en la versión: 2.26.6 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.26.6.

Plugin: IP2Location Country Blocker Vulnerabilidad: Suscriptor+ Instalación de ruptura arbitraria: 10,000+ parcheado en la versión: 2.26.6 Puntuación de gravedad: el medio se corrige, por lo que debe actualizarse a la versión 2.26.6.
Plugin: IP2Location Vulnerabilidad del bloqueador de país: Banespasa Instalación activa: 10.000+ parcheado en la versión: 2.26.6 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.26.6.

16. Asistencia extraordinaria: WordPress Helpdesk & Assistance Plugin
Plugin: Awesome Sopking-Titan Framework Vulnerabilidad: reflejar la escritura transversal (XSS) Instalación activa: más de 10,000 parcheados en la versión: 6.0.11 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.0.11.
17. Catálogo de productos definitivos
Plugin: Catálogo de productos definitivos Vulnerabilidad: Suscriptor+ Creación del producto arbitrario y actualización de la configuración de instalación activa: 10,000 parcheados en la versión: 5.0.26 Puntuación de gravedad: Medium
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.26.
18. Documento Informador

Plugin: Documento Vulnerabilidad de la embedida: Suscriptor+ Divulgación/divulgación arbitraria del título Instalación activa terminada: 9,000+ Patchado en la versión: 1.7.9 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.9.
Plugin: Documento Vulnerabilidad de la embedida: Arbitraje privado inalcanzable Instalación activa del proyecto de publicación: 9,000+ en la versión: 1.7.9 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.9.

19. RVM – ReceptivePlogin Vector Maps: RVM – Mapas de vectores receptivos Vulnerabilidad: Suscriptor+ Lectura Archivo arbitrario Instalación activa: 6,000+ Patchado en la versión: 6.4.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.4.2.

20. Medios
Complemento: vulnerabilidad de medios: suscriptor+ inyección de SQL Instalación activa: más de 3.000 rematados en la versión: 2.8.1 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.8.1.
21. Woopra
Plugin: Woopra Vulnerabilidad: Carga de archivo arbitrario no autorizado: 2,000+ parcheado en la versión: 1.4.3.2 Puntuación de gravedad: Crítico

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.3.2.
22. Acceder al administrador de los derechos de usuario
Plugin: Administrador de acceso para la vulnerabilidad de los derechos del usuario: omitir la restricción de acceso Instalación activa: 900+ parcheado en la versión: 1.0.8 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.8.
23. El botón Yumoney
Plugin: vulnerabilidad del marco de botón yumoney: reflejar la instalación activa de secuencias de comandos de sitios cruzados (XSS): 900+ en la versión: 2.4.0 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.0.
24. Integration TrustMate.io para el complemento de WooCommerce: integración TrustMate.io para la vulnerabilidad de WoCommerce: actualización de la configuración del suscriptor+ complemento arbitrario Instalación activa: 300+ parcheado: 1.8.12 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.12.

Plugin: Integration TrustMate.io para la vulnerabilidad de WooCommerce: suscriptor+ actualización de opción arbitraria para la instalación activa: 300+ parcheado en la versión: 1.7.1 Puntuación de gravedad: Se corrige la marvulnerabilidad, por lo que debe actualizarse a la versión 1.8.12.
25. Ranker de complemento verdadero: Vulnerabilidad de rango verdadero: acceso no autorizado a archivos arbitrarios cruzando la instalación activa: 300+ parcheado en la versión: 2.2.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.4.

26. WebHotelier para WordPress
Plugin: WebHotelier para WordPress-Titan Framework Vulnerabilidad: reflejar la instalación activa de secuencias de comandos de sitios cruzados (XSS): más de 200+: 1.6.1 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.1.
Vulnerabilidades de complemento Premium
En esta sección, se revelaron las últimas vulnerabilidades del complemento Premium WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 27. Avanzado CRON Manager Pro Plugin: Vulnerabilidad avanzada de Cron Pro Manager: suscriptor+ creación/eliminación de eventos/programas arbitrarios parcheados en la versión: 2.5.3 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.3.
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre. 28. Formulario de contacto 7 pieles
Plugin: Formulario de contacto 7 Skins Vulnerabilidad: reflejar la instalación activa de secuencias de comandos de sitios cruzados (XSS): más de 30.000+ en la versión: No se ha corregido el remedio de gravedad: medio esta vulnerabilidad. Desinstale y borre el complemento hasta que se libere un parche.

29. Woorockes Nitro Plugin: Woorockes Nitro Vulnerabilidad: Instalación no autorizada del complemento arbitrario en Versión: No conocido Remedio de Severidad: Crítico
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
30. Afiliate Amazon Plugin: Affiliate Amazon Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: No hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.

2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente a usted3. Activar Detección de archivo Cambio de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La diversión de detección de detección de archivos en su sitio
Obtenga iThems Security Pro con el monitoreo de la seguridad del sitio web de seguridad de seguridad de ITHEMS 24/7, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro