Te „złe” wtyczki WordPress

Obrazek dla Te „złe” wtyczki WordPress

Wykaz podatności wtyczek WordPress.

Lipiec 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w lipcu 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

Email Subscribers & Newsletters < 4.5.1 – iniekcja SQL

oraz Cross-site Request Forgery w funkcji send_test_email()

2020-5767

Osoba atakująca może wykorzystać ten problem, przekonując użytkownika do kliknięcia specjalnie spreparowanego adresu URL, który będzie wysyłał wiadomości e-mail z konta e-mail WordPress użytkownika, którego dotyczy problem.

2020-5768

Uwierzytelniona osoba atakująca o wysokich uprawnieniach może wykorzystać ten problem, aby uzyskać dostęp do systemu DBMS.

Żródło informacji

Zalecamy aktualizację do najnowszej wersji Email Subscribers & Newsletters – Simple and Effective Email Marketing WordPress Plugin od Icegram dostępnej w oficjalnym repozytorium wtyczek do WordPress.

Newsletter < 6.7.7 –  XSS

CWE-79

Kolejna wtyczka do obsługi newslettera. Tym razem XSS został odkryty w polu „Motto” informacji o firmie. Podczas tworzenia nowego newslettera przy użyciu pustego szablonu z modułem nagłówka, XSS zostałby wykonany.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji wtyczki dostępnej w oficjalnym repozytorium czyli do wersji min. 6.7.7.

All in One SEO Pack < 3.6.2 – XSS

CWE-79

Podatność umożliwiała uwierzytelnionym użytkownikom z dostępem na poziomie autora lub wyższym wstrzykiwać złośliwych skrypty, które zostałyby wykonane, gdyby ofiara uzyskała dostęp do strony  „wszystkie posty” w panelu administracyjnym WordPress.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

Contact Form by WPForms  < 1.6.0.2 – Kolejny XSS

CWE-79

Vishnupriya Ilango z Fortinet’s FortiGuard Labs wykrył problem z uwierzytelnianymi zapisanymi skryptami cross-site poprzez parametr etykiety wyboru w kreatorze formularzy, który współdziała z podglądem na żywo.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

Page Builder: KingComposer  < 2.9.5 – XSS

W tym darmowym Drag&Drop page builderze od King-Theme wykryto lukę w zabezpieczeniach skryptów między witrynami (XSS) we wtyczce KingComposer do wersji 2.9.4 dla WordPress umożliwia zdalnym atakującym oszukanie ofiary do wysłania żądania install_online_preset AJAX zawierającego JavaScript zakodowany w base64 (w parametrze POST kc-online-preset-data ), który jest wykonywany w przeglądarce ofiary.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium WordPress czyli wersji 2.9.5 wtyczki.

Wise Chat < 2.8.4 – CSV Injection

Podatność pozwala nieuwierzytelnionemu użytkownikowi lub użytkownikowi z niskimi uprawnieniami na umieszczenie polecenia w wiadomościach czatu, które zostaną zawarte w wyeksportowanym pliku CSV (poprzez kopię zapasową wiadomości), prowadząc do możliwego wykonania kodu.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji 2.84 wtyczki dostępnej w oficjalnym repozytorium WordPress.

Zatem, „Do aktualizacji przystąp!”.

Hosting dla WordPress w HitMe!