Te „złe” wtyczki WordPress listopad 2020

Obrazek dla Te „złe” wtyczki WordPress listopad 2020

Wykaz podatności wtyczek WordPress.

Listopad 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu listopad 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności. 

 

WooCommerce < 4.6.2 – Tworzenie klienta – gościa

CWE-284

Wersje WooCommerce wcześniejsze niż 4.6.2 zawierają lukę, która umożliwia użytkownikom-gościom tworzenie kont podczas realizacji transakcji, nawet jeśli ustawienie „Zezwól klientom na tworzenie konta podczas płatności” jest wyłączone. Ta luka jest wykorzystywana przez bota do składania zamówień na spam i tworzenia kont użytkowników, które są następnie wykorzystywane do wykrywania luk w innych wtyczkach w witrynie.

Źródło informacji

Koniecznie zalecamy aktualizację do najnowszej wersji  4.6.2 dostępnej w repozytorium, gdzie ta luka została załatana. Dla dobra własnego sklepu.

 

WP Activity Log < 4.1.5 – SQL Injection

CWE-89

We wtyczce WP Activity Log WordPress zidentyfikowano dwie luki w zabezpieczeniach SQL Injection. Dziennik zmian wtyczki stwierdza: „Wstrzyknięcie SQL do modułu zewnętrznej bazy danych bardzo głęboko zgłoszone przez WP. Dziękuję za odpowiedzialne ujawnienie.”

Źródło informacji

Koniecznie zalecamy aktualizację do najnowszej wersji  4.1.5 dostępnej w repozytorium.

 

 

WP Google Map Plugin <= 4.1.3 – Auth. SQL Injection

CWE-89

Strona „Manage Locations”w ustawieniach wtyczki była podatna na wstrzyknięcie SQL przez wysoko uprzywilejowanego użytkownika

Ponieważ brak fixa, na tę chwilę nie został opublikowany PoC (Proof of Concept)

Na dzień 01.12.2020 brak jest fixa dlatego zalecamy wyłączenie tej wtyczki jeśli nasz WordPress posiada wiele kont użytkowników.

 

 

Media Library Assistant < 2.90 – Auth. SQL Injection

CWE-89

Wtyczka Media Library Assistant WordPress została dotknięta luką w zabezpieczeniach uwierzytelnionego (administratora +) wstrzyknięcia SQL, gdy w opcjach wtyczki jest ustawiona co najmniej jedna niestandardowa reguła pola.

PoC zostanie wyświetlony 8 grudnia 2020 r., aby dać użytkownikom czas na aktualizację.

Zalecamy aktualizację do najnowszej wersji 2.90 dostępnej w repozytorium.

 

 

Ochrona przed lukami we wtyczkach WordPress?

 

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

 

 

Anti-Spam by CleanTalk < 5.149 – Multiple Auth. SQL Injections

CWE-89

W tej wtyczce mającej zabezpieczać odnotowano wiele uwierzytelnionych wstrzyknięć SQL. Mowa o Anti-Spam by CleanTalk 5.148, jednak wymaga to wysokiego poziomu uprawnień użytkownika (admin +). Więc nie jest to jakaś krytyczna podatność, niemniej jednak ilość odnotowanych instalacji sprawia że trafia ona na listę.

Zalecamy aktualizację do najnowszej wersji  5.149 dostępnej w repozytorium, gdzie luka została naprawiona.

 

Ultimate Member – Brak filtrowania

CWE-269

Ze względu na brak filtrowania na podstawie parametru roli użytkownika, który można podać podczas procesu rejestracji, osoba atakująca może dostarczyć zmiennej funkcję WordPress lub dowolną niestandardową rolę Ultimate Member i skutecznie uzyskać niepożądane uprawnienia.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji  2.1.12 dostępnej w repozytorium, gdzie luka została naprawiona.

 

Hosting dla WordPress w HitMe!