Te „złe” wtyczki WordPress czerwiec 2021

Obrazek dla Te „złe” wtyczki WordPress czerwiec 2021

Wykaz podatności wtyczek WordPress.

Czerwiec 2021

Pierwsze miesiące tego roku były dość łaskawe dla popularnych wtyczek. Nie donoszono o poważniejszych lukach. Jednak ta dobra passa wydaje się kończyć, dlatego wracamy z cyklem podatności we wtyczkach do WordPress. Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu czerwiec 2021. Zachęcamy do zapoznania się z poniższą listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności. 

 

ProfilePress < 3.1.8 – Poważne podatności

CWE-79, CWE-269, CWE-434

W tej popularnej wtyczce (ponad 400tys. instalacji) do zarządzania zarejestrowanymi użytkownikami wykryto wiele podatności, min. XSS dla autoryzowanych użytkowników z poziomem uprawnień administrator, zarejestrowania się z poziomem uprawnień administrator. Ponadto możliwe jest przesyłanie zamiast zdjęcia użytkownika – dowolnego pliku na serwer

Źródło informacji

Koniecznie zalecamy aktualizację do najnowszej wersji  3.1.8 dostępnej w repozytorium, gdzie ta luka została załatana. 

 

Tutor LMS < 1.9.2 – Authenticated Stored Cross-Site Scripting (XSS)

CWE-79

W jednej z bardziej popularnych wtyczek do szkoleń on-line wykryto problem w polu Podsumowanie ogłoszeń (podczas wyprowadzania go w atrybucie). Ogłoszenia mogą być tworzone przez użytkowników o niskich uprawnieniach, jak Instruktor Tutor. Poprowadziło to do powstania luki XSS Stored Cross-Site Scripting, która jest wywoływana podczas przeglądania listy ogłoszeń i może skutkować eskalacją uprawnień podczas przeglądania przez administratora.

Dowód zostanie ujawniony 12 sierpnia 2021, dając czas na aktualizacje.

Koniecznie zalecamy aktualizację do najnowszej wersji  1.9.2 dostępnej w repozytorium.

 

Ochrona przed lukami we wtyczkach WordPress?

 

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

 

 

W3 Total Cache < 2.1.5 – Reflected XSS (JS Context)

CWE-79

Wtyczka do optymalizacji WordPress jest na tyle popularną, że warto nadmienić o pomniejszej luce, które jednak może pozwolić osobie atakującej, gdy przekonać uwierzytelnionego administratora do kliknięcia łącza, na uruchomienie złośliwego kodu JavaScript w przeglądarce użytkownika, co może doprowadzić do pełnego włamania do witryny.

Zalecamy aktualizację do najnowszej wersji  2.1.5 dostępnej w repozytorium, gdzie usunięto tę lukę.

 

Paid Membership Pro < 2.5.10 – Cross-Site Scripting (XSS)

CWE-79

W kolejnej popularnej wtyczce do WordPress umożliwiającej zarządzającej subskrybowanymi użytkownikami została wykryta luka XSS na stronie edycji zamówienia oraz panelu administratora.

Zalecamy aktualizację do najnowszej wersji 2.5.10 dostępnej w repozytorium.

Źródło informacji

 

Hosting dla WordPress w HitMe!