Te „złe” wtyczki WordPress (listopad 2019)

Wykaz podatności wtyczek WordPress
Październik – Listopad 2019
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress październik – listopad 2019. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
YITH Plugin Framework <= 3.3.8
Wiele wtyczek z frame-worka YITH posiada podatność na zmianę ustawień przez zalogowanego użytkownika.
Podatność pozwala zalogowanym użytkownikom na wstawianie lub aktualizowanie niestandardowych typów postów (custom-post). Ze względu na liczbę wtyczek z frameworka, posiadających tę podatność – zalecamy zaktualizowanie jakiejkolwiek wtyczki YITH.
yith-woocommerce-wishlist załatane w wersji 2.2.14 yith-woocommerce-compare załatane w wersji 2.3.15 yith-woocommerce-quick-view załatane w wersji 1.3.15 yith-woocommerce-zoom-magnifier załatane w wersji 1.3.12 yith-woocommerce-ajax-search załatane w wersji 1.7.1 yith-woocommerce-badges-management załatane w wersji 1.3.21 yith-woocommerce-brands-add-on załatane w wersji 1.3.7 yith-woocommerce-request-a-quote załatane w wersji 1.4.9 yith-woocommerce-social-login załatane w wersji 1.3.6 yith-woocommerce-order-tracking załatane w wersji 1.2.11 yith-woocommerce-pdf-invoice załatane w wersji 1.2.13 yith-pre-order-for-woocommerce załatane w wersji 1.2.1 yith-woocommerce-advanced-reviews załatane w wersji 1.4.0 yith-woocommerce-product-add-ons załatane w wersji 1.5.23 yith-woocommerce-gift-cards załatane w wersji 1.3.8 yith-woocommerce-subscription załatane w wersji 1.3.6 yith-woocommerce-affiliates załatane w wersji 1.6.3 yith-woocommerce-cart-messages załatane w wersji 1.4.5 yith-woocommerce-product-bundles załatane w wersji 1.1.17 yith-woocommerce-frequently-bought-together załatane w wersji 1.2.11 yith-woocommerce-multi-step-checkout załatane w wersji 1.7.5 yith-color-and-label-variations-for-woocommerce załatane w wersji 1.8.13 yith-custom-thank-you-page-for-woocommerce załatane w wersji 1.1.8 yith-product-size-charts-for-woocommerce załatane w wersji 1.1.13 yith-woocommerce-added-to-cart-popup załatane w wersji 1.3.13 yith-woocommerce-bulk-product-editing załatane w wersji 1.2.15 yith-woocommerce-stripe załatane w wersji 2.0.2 yith-woocommerce-waiting-list załatane w wersji 1.3.11 yith-woocommerce-points-and-rewards załatane w wersji 1.3.6 yith-advanced-refund-system-for-woocommerce załatane w wersji 1.0.12 yith-woocommerce-authorizenet-payment-gateway załatane w wersji 1.1.13 yith-woocommerce-best-sellers załatane w wersji 1.1.13 yith-woocommerce-mailchimp załatane w wersji 2.1.4 yith-woocommerce-product-vendors załatane w wersji 3.4.1 yith-woocommerce-questions-and-answers załatane w wersji 1.2.0 yith-woocommerce-recover-abandoned-cart załatane w wersji 1.3.4 yith-paypal-express-checkout-for-woocommerce załatane w wersji 1.2.6 yith-desktop-notifications-for-woocommerce załatane w wersji 1.2.8
Email Subscribers & Newsletters < 4.2.3 – Wiele podatności
W popularna wtyczce do newsletterów i pozyskiwania adresów e-mail w WordPress pojawiły się podatności:
- możliwy Export bez uwierzytelniania – pozwala na ujawnienie danych subskrybentów
- niebezpieczne uprawnienia w Kokpicie i Ustawieniach
- CSRF w Ustawieniach
- Wysyłka testowych maili z Kokpitu jako Autoryzowany Użytkownik (Subskrybent lub wyżej)
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Jetpack 5.1-7.9 – Podatnośc w shortcode
Jetpack 7.9.1 zawiera krytyczną aktualizację zabezpieczeń. Należy jak najszybciej zaktualizować wszystkie witryny, którymi administrujesz.
Ponadto jak piszą sami autorzy
„Odkryliśmy lukę w sposobie, w jaki Jetpack przetwarzał kod do osadzenia (shortcode), który istniał od Jetpack 5.1, wydanego w lipcu 2017 r. „
Fast Velocity Minify < 2.7.7 – Ujawnienie ścieżki
Polecaliśmy tą wtyczkę w naszym poradniku „Przyspiesz swoją stronę na WordPress” dlatego poniższą podatność umieściliśmy na naszej liście.
Usterka pozwala uwierzytelnionym atakującym odkryć pełną ścieżkę dostępu do katalogu głównego do uruchomionej aplikacji WordPress.
W najnowszej wersji wtyczki 2.7.7 luka została poprawiona.
All In One WP Security & Firewall <= 4.4.1
CWE-601
Ten popularny firewall pod WordPress zarządza wieloma aspektami bezpieczeństwa naszego bloga, witryny. Pojawiła się luka w postaci przekierowania na obcą stronę, jeśli mamy aktywną opcję „Zmiany adresu strony logowania”
Zalecamy aktualizację do wersji 4.4.2 gdzie luka została naprawiona.
EU Cookie Law <= 3.0.6 – Podatność XSS
Autorzy wydali fix w wersji 3.1 jednak nie jest on wystarczający -> [ Dowód ]
Zalecamy wyłączenie wtyczki i zastąpienie jej np. Cookie Notice for GDPR ze stajni dFactory.
Ochrona przed złym kodem na stronie
Ochrona przed malware i atakami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.