Te „złe” wtyczki WordPress (kwiecień 2020)
Wykaz podatności wtyczek WordPress
Marzec – Kwiecień 2020
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress marzec – kwiecień 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
GDPR Cookie Consent < 1.8.3 – Niewłaściwa kontrola dostępu
Problem z niewłaściwą kontrolą dostępu w wywołaniu AJAX cli_policy_generator, który może umożliwić uwierzytelnionemu użytkownikowi o niskich uprawnieniach (takim jak subskrybent):
- Zmianę statusu każdego posta / strony z opublikowanej na wersję roboczą, usuwając je z frontonu blogu.
- Umieszczenie kodu w treści jednego z nich, co prowadzi do problemów z przechowywanymi skryptami krzyżowymi (XSS).
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Duplicator < 1.3.24 & 1.3.26 – pobieranie dowolnego pliku
Problem jest aktywnie wykorzystywany i umożliwia atakującym pobieranie dowolnych plików, takich jak plik wp-config.php.
Według dostawcy luka ta występowała tylko w dwóch wersjach 1.3.24 i 1.3.36, ale nie występowała w wersjach 1.3.22 ani wcześniejszych.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Strong Testimonials < 2.40.1 – Stored Cross Site Scripting (XSS)
Wiele przechowywanych luk w zabezpieczeniach XSS znalezionych w popularnej wtyczce testowej WordPress, Strong Testimonials.
https://github.com/MachoThemes/strong-testimonials/blob/master/changelog.txt
Naprawiono w wersji 2.40.1
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Htaccess by BestWebSoft < 1.8.2 – CSRF edycja htaccess
Wtyczka Htaccess to proste i przydatne narzędzie, które pomaga kontrolować dostęp do strony internetowej WordPress.
Autor o nicku V1n1v131r4 udowadnia że możną edytować htaccess za pomocą tej podatności.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Ochrona przed lukami we wtyczkach WordPress?
Ochrona przed malware, atakami i podatnościami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.