Te „złe” wtyczki WordPress wrzesień 2020

28 września, 2020 10:47 Miniaturka Adam Adam
czas czytania Czas czytania: 2 min.
Obrazek dla Te „złe” wtyczki WordPress wrzesień 2020

Wykaz podatności wtyczek WordPress.

Wrzesień 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu wrześniu 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności. Na szczęście w tym miesiącu mamy tylko 3 popularne pozycje i podatności, którymi trzeba się zająć.

 

Email Subscribers & Newsletters < 4.5.6 – Wysyłka fałszywych e-mail

CVE 2020-5780

Tu dość niebezpieczna i równie szkodliwa podatność. Luka umożliwia zdalnie nieuwierzytelnionemu atakującemu na wysyłanie sfałszowanych wiadomości e-mail do wszystkich odbiorców z dostępnych list kontaktów lub subskrybentów, z pełną kontrolą nad treścią i tematem wiadomości e-mail.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji wtyczki dostępnej w oficjalnym repozytorium czyli do wersji min. 4.5.6.

 

All In One WP Security & Firewall < 4.4.4 – CSRF & XSS

CWE-79

Przykład AIOWPS pokazuje że luki zdarzają się nawet we wtyczkach, które mają nas chronić. Mniej poważna luka ale z racji zadania, jakie wtyczka ma spełniać warto również pamiętać o częstej aktualizacji All In One WP Security & Firewall.

Osoba atakująca może wykorzystać lukę, nakłaniając administratora do odwiedzenia łącza – lub nawet wyświetlenia obrazu – przy użyciu specjalnie spreparowanego ładunku specyficznego dla docelowej witryny internetowej.

Luka dotycząca wtyczki All In One WP Security & Firewall wymaga od ofiary uruchomienia starszej przeglądarki internetowej w celu jej wykorzystania.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Ochrona przed lukami we wtyczkach WordPress?

 

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

 

 

MetaSlider < 3.17.2 – Authenticated Stored Cross-Site Scripting (XSS)

CWE-79

Pracownik z  Fortinet FortiGuard Labs odkrył że w tym bardzo popularnym sliderze (ponad 800.000 aktywnych instalacji) pola nagłówka obrazu i parametrze opisu w module tworzenia slajdów zawierają luki umożliwiające wstrzyknięcie kodu. Klasyka jednym słowem.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji  3.17.2 lub wyższej dostępnej w repozytorium.

 

Hosting dla WordPress w HitMe!