Te “złe” wtyczki WordPress (czerwiec 2020)

23 czerwca, 2020 10:10


img

Wykaz podatności wtyczek WordPress

Czerwiec 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress czerwiec 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

 

WooCommerce < 4.1.0 – Naprawa luki XSS

CWE-79

Możliwy XSS w postaci problemu z niezabezpieczonymi meta-danymi podczas duplikowania produktów na sklepie. Zostało to naprawione w najnowszej aktualizacji.

Żródło informacji

Zalecamy aktualizację do najnowszej wersji WooCommerce dostępnej w repozytorium.

 

 

Elementor Page Builder < 2.9.10 –  XSS

2020-13864 2020-13865

Wtyczka Elementor Page Builder jest podatna na przechowywany XSS. Użytkownik o roli Autor może tworzyć niestandardowe łącza zawierające ładunki XSS lub stosować niestandardowe atrybuty do widżetów, których wynikiem jest XSS.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

wpDiscuz < 5.3.6 – wstrzyknięcie SQL

2020-13640

CWE-89

Wtyczka wpDiscuz w wersji 5.3.5 posiada ważną lukę umożliwiającą wstrzyknięcie SQL, jak sami autorzy piszą:

“Otrzymaliśmy raport, że w wersji 5.3.5 występuje problem podatności na zagrożenia. Ten problem został rozwiązany w głównej wersji aktualizacji 7.x.x. Jednak naprawiliśmy również problem dla użytkowników wersji 5.x i wydaliśmy wersję 5.3.6.”

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

bbPress < 2.6.5 – Wiele luk

Jeszcze w maju 2020 wykryto szereg luk w tej wtyczce:

  • Nieuwierzytelniona eskalacja uprawnień po włączeniu rejestracji nowego użytkownika 2020-13693
  • Uwierzytelnienie eskalacji uprawnień za pośrednictwem funkcji Super Moderator CWE-269
  • Uwierzytelnione przechowywane skrypty krzyżowe za pośrednictwem tabeli listy forów CWE-79

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Visual Composer Website Builder < 27 – Wiele luk XSS

Jerome Braundet z NinTechNet odkrył wiele problemów z przechowywanymi skryptami krzyżowymi, które mogą umożliwić użytkownikom z współpracownikiem i wyżej wymienionymi rolami wstrzykiwanie dowolnego bloga JavaScript na blogu.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Elastyczny Hosting SSD!

O zabezpieczeniach… | Elastyczny Hosting SSD

250 wyświetleń

Podziel się lub polub!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

1 × 4 =