Te „złe” wtyczki WordPress (kwiecień 2020)

9 kwietnia, 2020 11:21 Miniaturka Adam Adam
czas czytania Czas czytania: 2 min.
Obrazek dla Te „złe” wtyczki WordPress (kwiecień 2020)

Wykaz podatności wtyczek WordPress

Marzec – Kwiecień 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress marzec – kwiecień 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

 

GDPR Cookie Consent < 1.8.3 – Niewłaściwa kontrola dostępu

Problem z niewłaściwą kontrolą dostępu w wywołaniu AJAX cli_policy_generator, który może umożliwić uwierzytelnionemu użytkownikowi o niskich uprawnieniach (takim jak subskrybent):

  • Zmianę statusu każdego posta / strony z opublikowanej na wersję roboczą, usuwając je z frontonu blogu.
  • Umieszczenie kodu w treści jednego z nich, co prowadzi do problemów z przechowywanymi skryptami krzyżowymi (XSS).

Żródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Duplicator < 1.3.24 & 1.3.26 – pobieranie dowolnego pliku

Problem jest aktywnie wykorzystywany i umożliwia atakującym pobieranie dowolnych plików, takich jak plik wp-config.php.

Według dostawcy luka ta występowała tylko w dwóch wersjach 1.3.24 i 1.3.36, ale nie występowała w wersjach 1.3.22 ani wcześniejszych.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Strong Testimonials < 2.40.1 – Stored Cross Site Scripting (XSS)

Wiele przechowywanych luk w zabezpieczeniach XSS znalezionych w popularnej wtyczce testowej WordPress, Strong Testimonials.

https://github.com/MachoThemes/strong-testimonials/blob/master/changelog.txt

Naprawiono w wersji 2.40.1

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Htaccess by BestWebSoft < 1.8.2 – CSRF edycja htaccess

Wtyczka Htaccess to proste i przydatne narzędzie, które pomaga kontrolować dostęp do strony internetowej WordPress.

CWE-352

Autor o nicku V1n1v131r4 udowadnia że możną edytować htaccess za pomocą tej podatności.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Elastyczny Hosting SSD!

O zabezpieczeniach… | Elastyczny Hosting SSD w HitMe