Te „złe” wtyczki WordPress (listopad 2019)

Obrazek dla Te „złe” wtyczki WordPress (listopad 2019)

Wykaz podatności wtyczek WordPress

Październik – Listopad 2019

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress październik – listopad 2019. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

 

YITH Plugin Framework <= 3.3.8

CWE-269

Wiele wtyczek z frame-worka YITH posiada podatność na zmianę ustawień przez zalogowanego użytkownika.

Podatność pozwala zalogowanym użytkownikom na wstawianie lub aktualizowanie niestandardowych typów postów (custom-post). Ze względu na liczbę wtyczek z frameworka, posiadających tę podatność – zalecamy zaktualizowanie jakiejkolwiek wtyczki YITH.

yith-woocommerce-wishlist	załatane w wersji 2.2.14
yith-woocommerce-compare	załatane w wersji 2.3.15
yith-woocommerce-quick-view	załatane w wersji 1.3.15
yith-woocommerce-zoom-magnifier	załatane w wersji 1.3.12
yith-woocommerce-ajax-search	załatane w wersji 1.7.1
yith-woocommerce-badges-management	załatane w wersji 1.3.21
yith-woocommerce-brands-add-on	załatane w wersji 1.3.7
yith-woocommerce-request-a-quote	załatane w wersji 1.4.9
yith-woocommerce-social-login	załatane w wersji 1.3.6
yith-woocommerce-order-tracking	załatane w wersji 1.2.11
yith-woocommerce-pdf-invoice	załatane w wersji 1.2.13
yith-pre-order-for-woocommerce	załatane w wersji 1.2.1
yith-woocommerce-advanced-reviews	załatane w wersji 1.4.0
yith-woocommerce-product-add-ons	załatane w wersji 1.5.23
yith-woocommerce-gift-cards	załatane w wersji 1.3.8
yith-woocommerce-subscription	załatane w wersji 1.3.6
yith-woocommerce-affiliates	załatane w wersji 1.6.3
yith-woocommerce-cart-messages	załatane w wersji 1.4.5
yith-woocommerce-product-bundles	załatane w wersji 1.1.17
yith-woocommerce-frequently-bought-together	załatane w wersji 1.2.11
yith-woocommerce-multi-step-checkout	załatane w wersji 1.7.5
yith-color-and-label-variations-for-woocommerce	załatane w wersji 1.8.13
yith-custom-thank-you-page-for-woocommerce	załatane w wersji 1.1.8
yith-product-size-charts-for-woocommerce	załatane w wersji 1.1.13
yith-woocommerce-added-to-cart-popup	załatane w wersji 1.3.13
yith-woocommerce-bulk-product-editing	załatane w wersji 1.2.15
yith-woocommerce-stripe	załatane w wersji 2.0.2
yith-woocommerce-waiting-list	załatane w wersji 1.3.11
yith-woocommerce-points-and-rewards	załatane w wersji 1.3.6
yith-advanced-refund-system-for-woocommerce	załatane w wersji 1.0.12
yith-woocommerce-authorizenet-payment-gateway	załatane w wersji 1.1.13
yith-woocommerce-best-sellers	załatane w wersji 1.1.13
yith-woocommerce-mailchimp	załatane w wersji 2.1.4
yith-woocommerce-product-vendors	załatane w wersji 3.4.1
yith-woocommerce-questions-and-answers	załatane w wersji 1.2.0
yith-woocommerce-recover-abandoned-cart	załatane w wersji 1.3.4
yith-paypal-express-checkout-for-woocommerce	załatane w wersji 1.2.6
yith-desktop-notifications-for-woocommerce	załatane w wersji 1.2.8

 

Email Subscribers & Newsletters < 4.2.3 – Wiele podatności

W popularna wtyczce do newsletterów i pozyskiwania adresów e-mail w WordPress pojawiły się podatności:

  • możliwy Export bez uwierzytelniania – pozwala na ujawnienie danych subskrybentów
  • niebezpieczne uprawnienia w Kokpicie i Ustawieniach
  • CSRF w Ustawieniach
  • Wysyłka testowych maili z Kokpitu jako Autoryzowany Użytkownik (Subskrybent lub wyżej)

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

Jetpack 5.1-7.9 – Podatnośc w shortcode

Jetpack 7.9.1 zawiera krytyczną aktualizację zabezpieczeń. Należy jak najszybciej zaktualizować wszystkie witryny, którymi administrujesz.

Ponadto jak piszą sami autorzy

„Odkryliśmy lukę w sposobie, w jaki Jetpack przetwarzał kod do osadzenia (shortcode), który istniał od Jetpack 5.1, wydanego w lipcu 2017 r. „

 

Fast Velocity Minify < 2.7.7 – Ujawnienie ścieżki

CWE-200

Polecaliśmy tą wtyczkę w naszym poradniku „Przyspiesz swoją stronę na WordPress”  dlatego poniższą podatność umieściliśmy na naszej liście.

Usterka pozwala uwierzytelnionym atakującym odkryć pełną ścieżkę dostępu do katalogu głównego do uruchomionej aplikacji WordPress.

W najnowszej wersji wtyczki 2.7.7 luka została poprawiona.

 

All In One WP Security & Firewall <= 4.4.1

CWE-601

Ten popularny firewall pod WordPress zarządza wieloma aspektami bezpieczeństwa naszego bloga, witryny. Pojawiła się luka w postaci przekierowania na obcą stronę, jeśli mamy aktywną opcję „Zmiany adresu strony logowania”

Zalecamy aktualizację do wersji 4.4.2 gdzie luka została naprawiona.

 

EU Cookie Law <= 3.0.6 – Podatność XSS

CWE-79

Autorzy wydali fix w wersji 3.1 jednak nie jest on wystarczający -> [ Dowód ]

Zalecamy wyłączenie wtyczki i zastąpienie jej np. Cookie Notice for GDPR ze stajni dFactory.

 

 

Ochrona przed złym kodem na stronie

Ochrona przed malware i atakami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting WWW!

O zabezpieczeniach… | Hosting WWW w HitMe