Te „złe” wtyczki WordPress (czerwiec 2019)

Obrazek dla Te „złe” wtyczki WordPress (czerwiec 2019)

Wykaz podatności wtyczek WordPress

Maj-Czerwiec 2019

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress maj-czerwiec 2019. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

 

WordPress Social Warfare Plugin

(CVE-2019-9978)

Dotyczy wersji wtyczki od 3.5.0 do 3.5.2.

Wykryto podatność na zdalne wykonanie kodu (RCE) oraz dodatkową oraz podatność XSS, umiejscowione w pliku

social-warfare\lib\utilities\SWP_ Database_Migration.php

Zalecamy aktualizację do wersji 3.5.3

Więcej informacji w języku angielskim tutaj

 

Ninja Forms File Uploads Extension

(CWE-434)

Wykryto CWE-434 – czyli błąd, w którym podczas uploadu można wgrać dowolny plik na serwer bez sprawdzania poprawności typu pliku.
W ten sposób można wgrać na serwer złośliwy skrypt PHP.

Jeśli używasz wersji poniżej <= 3.0.22 – zaktualizuj do wersji 3.0.23

Więcej informacji w języku angielskim tutaj

 

 

WP Live Chat Support Pro

(CWE-434)

Ten sam błąd co w powyższej wtyczce do WordPress, dotyczy również wtyczki WP Live Chat Support Pro w wersji 8.0.27

Poprawka została poprawiona dopiero w wersji 8.0.32 – do której zalecamy przeprowadzenie aktualizacji.

Więcej informacji w języku angielskim tutaj

 

 

Ultimate Membership Pro

dotyczy wersji <=7.5

Plik ajax-upload.php nie weryfikuje uprawnień użytkownika, łącznie z tym – czy użytkownik jest zalogowany czy też nie.
Dlatego używając metody POST dla pola 'ihc_file’ możemy wgrać jakikolwiek obrazek na serwer i zostanie on na nim zachowany.

Zalecamy aktualizację tej wtyczki do wersji 7.6, w której zostało to poprawione.

Więcej:
https://codecanyon.net/comments/21539595

 

 

Bezpieczny hosting WWW

Ochrona przed malware i atakami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting WWW!

O zabezpieczeniach… | Hosting WWW w HitMe