Te „złe” wtyczki WordPress (czerwiec 2020)

Obrazek dla Te „złe” wtyczki WordPress (czerwiec 2020)

Wykaz podatności wtyczek WordPress

Czerwiec 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress czerwiec 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

 

WooCommerce < 4.1.0 – Naprawa luki XSS

CWE-79

Możliwy XSS w postaci problemu z niezabezpieczonymi meta-danymi podczas duplikowania produktów na sklepie. Zostało to naprawione w najnowszej aktualizacji.

Żródło informacji

Zalecamy aktualizację do najnowszej wersji WooCommerce dostępnej w repozytorium.

 

 

Elementor Page Builder < 2.9.10 –  XSS

2020-13864 2020-13865

Wtyczka Elementor Page Builder jest podatna na przechowywany XSS. Użytkownik o roli Autor może tworzyć niestandardowe łącza zawierające ładunki XSS lub stosować niestandardowe atrybuty do widżetów, których wynikiem jest XSS.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

wpDiscuz < 5.3.6 – wstrzyknięcie SQL

2020-13640

CWE-89

Wtyczka wpDiscuz w wersji 5.3.5 posiada ważną lukę umożliwiającą wstrzyknięcie SQL, jak sami autorzy piszą:

„Otrzymaliśmy raport, że w wersji 5.3.5 występuje problem podatności na zagrożenia. Ten problem został rozwiązany w głównej wersji aktualizacji 7.x.x. Jednak naprawiliśmy również problem dla użytkowników wersji 5.x i wydaliśmy wersję 5.3.6.”

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

bbPress < 2.6.5 – Wiele luk

Jeszcze w maju 2020 wykryto szereg luk w tej wtyczce:

  • Nieuwierzytelniona eskalacja uprawnień po włączeniu rejestracji nowego użytkownika 2020-13693
  • Uwierzytelnienie eskalacji uprawnień za pośrednictwem funkcji Super Moderator CWE-269
  • Uwierzytelnione przechowywane skrypty krzyżowe za pośrednictwem tabeli listy forów CWE-79

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Visual Composer Website Builder < 27 – Wiele luk XSS

Jerome Braundet z NinTechNet odkrył wiele problemów z przechowywanymi skryptami krzyżowymi, które mogą umożliwić użytkownikom z współpracownikiem i wyżej wymienionymi rolami wstrzykiwanie dowolnego bloga JavaScript na blogu.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Elastyczny Hosting SSD!

O zabezpieczeniach… | Elastyczny Hosting SSD