Te „złe” wtyczki WordPress (czerwiec 2020)
Wykaz podatności wtyczek WordPress
Czerwiec 2020
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress czerwiec 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
WooCommerce < 4.1.0 – Naprawa luki XSS
Możliwy XSS w postaci problemu z niezabezpieczonymi meta-danymi podczas duplikowania produktów na sklepie. Zostało to naprawione w najnowszej aktualizacji.
Zalecamy aktualizację do najnowszej wersji WooCommerce dostępnej w repozytorium.
Elementor Page Builder < 2.9.10 – XSS
Wtyczka Elementor Page Builder jest podatna na przechowywany XSS. Użytkownik o roli Autor może tworzyć niestandardowe łącza zawierające ładunki XSS lub stosować niestandardowe atrybuty do widżetów, których wynikiem jest XSS.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
wpDiscuz < 5.3.6 – wstrzyknięcie SQL
Wtyczka wpDiscuz w wersji 5.3.5 posiada ważną lukę umożliwiającą wstrzyknięcie SQL, jak sami autorzy piszą:
„Otrzymaliśmy raport, że w wersji 5.3.5 występuje problem podatności na zagrożenia. Ten problem został rozwiązany w głównej wersji aktualizacji 7.x.x. Jednak naprawiliśmy również problem dla użytkowników wersji 5.x i wydaliśmy wersję 5.3.6.”
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
bbPress < 2.6.5 – Wiele luk
Jeszcze w maju 2020 wykryto szereg luk w tej wtyczce:
- Nieuwierzytelniona eskalacja uprawnień po włączeniu rejestracji nowego użytkownika 2020-13693
- Uwierzytelnienie eskalacji uprawnień za pośrednictwem funkcji Super Moderator CWE-269
- Uwierzytelnione przechowywane skrypty krzyżowe za pośrednictwem tabeli listy forów CWE-79
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Visual Composer Website Builder < 27 – Wiele luk XSS
Jerome Braundet z NinTechNet odkrył wiele problemów z przechowywanymi skryptami krzyżowymi, które mogą umożliwić użytkownikom z współpracownikiem i wyżej wymienionymi rolami wstrzykiwanie dowolnego bloga JavaScript na blogu.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Ochrona przed lukami we wtyczkach WordPress?
Ochrona przed malware, atakami i podatnościami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.