Te „złe” wtyczki WordPress (czerwiec 2019)

Wykaz podatności wtyczek WordPress
Maj-Czerwiec 2019
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress maj-czerwiec 2019. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
WordPress Social Warfare Plugin
(CVE-2019-9978)
Dotyczy wersji wtyczki od 3.5.0 do 3.5.2.
Wykryto podatność na zdalne wykonanie kodu (RCE) oraz dodatkową oraz podatność XSS, umiejscowione w pliku
social-warfare\lib\utilities\SWP_ Database_Migration.php
Zalecamy aktualizację do wersji 3.5.3
Więcej informacji w języku angielskim tutaj
Ninja Forms File Uploads Extension
(CWE-434)
Wykryto CWE-434 – czyli błąd, w którym podczas uploadu można wgrać dowolny plik na serwer bez sprawdzania poprawności typu pliku.
W ten sposób można wgrać na serwer złośliwy skrypt PHP.
Jeśli używasz wersji poniżej <= 3.0.22 – zaktualizuj do wersji 3.0.23
Więcej informacji w języku angielskim tutaj
WP Live Chat Support Pro
(CWE-434)
Ten sam błąd co w powyższej wtyczce do WordPress, dotyczy również wtyczki WP Live Chat Support Pro w wersji 8.0.27
Poprawka została poprawiona dopiero w wersji 8.0.32 – do której zalecamy przeprowadzenie aktualizacji.
Więcej informacji w języku angielskim tutaj
Ultimate Membership Pro
dotyczy wersji <=7.5
Plik ajax-upload.php nie weryfikuje uprawnień użytkownika, łącznie z tym – czy użytkownik jest zalogowany czy też nie.
Dlatego używając metody POST dla pola 'ihc_file’ możemy wgrać jakikolwiek obrazek na serwer i zostanie on na nim zachowany.
Zalecamy aktualizację tej wtyczki do wersji 7.6, w której zostało to poprawione.
Więcej:
https://codecanyon.net/comments/21539595
Bezpieczny hosting WWW
Ochrona przed malware i atakami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.