Te „złe” wtyczki WordPress
Wykaz podatności wtyczek WordPress.
Lipiec 2020
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w lipcu 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
Email Subscribers & Newsletters < 4.5.1 – iniekcja SQL
oraz Cross-site Request Forgery w funkcji send_test_email()
Osoba atakująca może wykorzystać ten problem, przekonując użytkownika do kliknięcia specjalnie spreparowanego adresu URL, który będzie wysyłał wiadomości e-mail z konta e-mail WordPress użytkownika, którego dotyczy problem.
Uwierzytelniona osoba atakująca o wysokich uprawnieniach może wykorzystać ten problem, aby uzyskać dostęp do systemu DBMS.
Zalecamy aktualizację do najnowszej wersji Email Subscribers & Newsletters – Simple and Effective Email Marketing WordPress Plugin od Icegram dostępnej w oficjalnym repozytorium wtyczek do WordPress.
Newsletter < 6.7.7 – XSS
Kolejna wtyczka do obsługi newslettera. Tym razem XSS został odkryty w polu „Motto” informacji o firmie. Podczas tworzenia nowego newslettera przy użyciu pustego szablonu z modułem nagłówka, XSS zostałby wykonany.
Zalecamy aktualizację do najnowszej wersji wtyczki dostępnej w oficjalnym repozytorium czyli do wersji min. 6.7.7.
All in One SEO Pack < 3.6.2 – XSS
Podatność umożliwiała uwierzytelnionym użytkownikom z dostępem na poziomie autora lub wyższym wstrzykiwać złośliwych skrypty, które zostałyby wykonane, gdyby ofiara uzyskała dostęp do strony „wszystkie posty” w panelu administracyjnym WordPress.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Ochrona przed lukami we wtyczkach WordPress?
Ochrona przed malware, atakami i podatnościami w WordPress!
Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!
Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.
Sprawdź nasz Hosting pod WordPress!
O zabezpieczeniach… | Hosting pod WordPress
Contact Form by WPForms < 1.6.0.2 – Kolejny XSS
Vishnupriya Ilango z Fortinet’s FortiGuard Labs wykrył problem z uwierzytelnianymi zapisanymi skryptami cross-site poprzez parametr etykiety wyboru w kreatorze formularzy, który współdziała z podglądem na żywo.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.
Page Builder: KingComposer < 2.9.5 – XSS
W tym darmowym Drag&Drop page builderze od King-Theme wykryto lukę w zabezpieczeniach skryptów między witrynami (XSS) we wtyczce KingComposer do wersji 2.9.4 dla WordPress umożliwia zdalnym atakującym oszukanie ofiary do wysłania żądania install_online_preset AJAX zawierającego JavaScript zakodowany w base64 (w parametrze POST kc-online-preset-data ), który jest wykonywany w przeglądarce ofiary.
Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium WordPress czyli wersji 2.9.5 wtyczki.
Wise Chat < 2.8.4 – CSV Injection
Podatność pozwala nieuwierzytelnionemu użytkownikowi lub użytkownikowi z niskimi uprawnieniami na umieszczenie polecenia w wiadomościach czatu, które zostaną zawarte w wyeksportowanym pliku CSV (poprzez kopię zapasową wiadomości), prowadząc do możliwego wykonania kodu.
Zalecamy aktualizację do najnowszej wersji 2.84 wtyczki dostępnej w oficjalnym repozytorium WordPress.
Zatem, „Do aktualizacji przystąp!”.