Te „złe” wtyczki WordPress (sierpień 2019)
Wykaz podatności wtyczek WordPress
Lipiec-Sierpień 2019
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress lipiec – sierpień 2019. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
WooCommerce <= 3.6.4
(CWE-352)
W tym miesiącu warto zaktualizować swój WooCommerce – nastąpiła zbiorcza aktualizacja bezpieczeństwa i poprawki do wykrytych dziur (CWE-352 Cross-Site Request Forgery (CSRF) & File Type Check).
Więcej informacji pod tym linkiem.
Yoast SEO 1.2.0-11.5
(CWE-79)
Jeśli posiadamy WordPress w trybie Multisite – oraz Yoast w wersji 11.5 – koniecznie zaktualizujmy do wersji 11.6.
W wersji 11.5 znajduje się bug, w postaci braku filtrowania treści pól, co może mieć wpływ – jak twierdzą autorzy – nie tyle na sam WordPress co na „WordPress w trybie multisite”.
Dowód znajduje się pod tym linkiem.
WP File Manager <= 5.0
Obsługa natywnej biblioteki mediów WP nie każdemu pasuje. Czasami lubimy instalować dodatkowe menadżery plików, w który lepiej się odnajdujemy. Niestety z reguły posiadają one zwiększone uprawnienia.
I tak, w wersji 5.0 wtyczki WP File Manager wykryto wiele podatności, niezależnie od przypisanej roli użytkownika. Zalecamy aktualizację do najnowszej wersji 5.2.
Więcej informacji o wykrytych podatnościach w tym artykule.
Pirate Forms <= 1.5.1
Wiele podatności zostało wykrytych w tej wtyczce i nie zostały one jak do tej pory (na czas pisania news’a) poprawionych. Bugi umożliwiają wstrzyknięcie kodu HTML poprzez wtyczkę.
Więcej informacji ujawnia Jerome Bruandet na blogu (nintechnet.com)
All-in-One WP Migration <= 6.97
Uwaga! Znana i używana wtyczka do migracji All-in-One WP Migration, dorobiła się podatności XSS ( CWE-79 )
Zalecamy aktualizacje do najnowszej wersji.
Więcej informacji na blogu WP Tavern
One Click SSL <= 1.4.6
Instalacja i zarządzanie certyfikatami SSL często sprawia kłopoty. Dlatego chętnie instalujemy wtyczki, które ogarną za nas temat SSL na naszym WordPress. Niemniej jednak jedna z takich wtyczek dorobiła się wielu podatności ze względu na braki w autoryzacji i zabezpieczeniach metod AJAX. Podatności umożliwiają zmianę ustawień, łącznie ze zmianą ustawień samego WordPress.
Dowód:
<html> <body onload="document.forms[0].submit()"> <form action="https://<BLOG>/wp-admin/admin.php?page=one-click-ssl" method="POST"> <!-- Plugin's Settings --> <input type="hidden" name="ocssl_toolsmenu" value="1"/> <input type="hidden" name="ocssl_nonsslredirect" value="1"/> <!-- WP Options --> <input type="hidden" name="blogname value="Owned"/> </form> </body> </html>
Zalecamy aktualizację do wersji 1.4.7 gdzie zostało to poprawione.
Simple 301 Redirects – Addon – Bulk Uploader <= 1.2.4
Przekierowania 301, tak pożądane przez SEO, w przypadku wielu artykułów na naszym WordPress ich permalinki mogą przyprawić o zawrót głowy. Dlatego używamy wtyczek do przekierowań 301, które to ingerencję w strukturę permalinków załatwiają za nas automatycznie. Niemniej jednak w przypadku ich podatności, możliwe jest złe przekierowanie, nawet na inną stronę. Tak też jest w przypadku wykrytej podatności w dodatku wtyczce Simple 301 Redirects gdzie atakujący może dowolnie przekierować nasze linki na własne adresy URL.
Zalecamy do aktualizacji do wersji 1.2.5 gdzie zostało to załatane.
Więcej informacji na blogu nintechnet.com
Uwaga na SQL Injection!
Bardzo poważny błąd w postaci możliwości wstrzyknięcia kodu SQL wykryto w następujących wtyczkach:
Advanced Contact form 7 DB <= 1.6.1
( https://fortiguard.com/zeroday/FG-VD-19-093 )
Email Subscribers & Newsletters <= 4.1.7
( https://plugins.trac.wordpress.org/changeset/2124040/email-subscribers )
Everest Forms <= 1.4.9
( https://fortiguard.com/zeroday/FG-VD-19-096 )
Zachęcamy do obserwowania możliwości aktualizacji tych wtyczek.
Ochrona przed złym kodem na stronie
Ochrona przed malware i atakami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.
Dodaj komentarz