Te „złe” wtyczki WordPress czerwiec 2021

Wykaz podatności wtyczek WordPress.
Czerwiec 2021
Pierwsze miesiące tego roku były dość łaskawe dla popularnych wtyczek. Nie donoszono o poważniejszych lukach. Jednak ta dobra passa wydaje się kończyć, dlatego wracamy z cyklem podatności we wtyczkach do WordPress. Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu czerwiec 2021. Zachęcamy do zapoznania się z poniższą listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
ProfilePress < 3.1.8 – Poważne podatności
W tej popularnej wtyczce (ponad 400tys. instalacji) do zarządzania zarejestrowanymi użytkownikami wykryto wiele podatności, min. XSS dla autoryzowanych użytkowników z poziomem uprawnień administrator, zarejestrowania się z poziomem uprawnień administrator. Ponadto możliwe jest przesyłanie zamiast zdjęcia użytkownika – dowolnego pliku na serwer
Koniecznie zalecamy aktualizację do najnowszej wersji 3.1.8 dostępnej w repozytorium, gdzie ta luka została załatana.
Tutor LMS < 1.9.2 – Authenticated Stored Cross-Site Scripting (XSS)
W jednej z bardziej popularnych wtyczek do szkoleń on-line wykryto problem w polu Podsumowanie ogłoszeń (podczas wyprowadzania go w atrybucie). Ogłoszenia mogą być tworzone przez użytkowników o niskich uprawnieniach, jak Instruktor Tutor. Poprowadziło to do powstania luki XSS Stored Cross-Site Scripting, która jest wywoływana podczas przeglądania listy ogłoszeń i może skutkować eskalacją uprawnień podczas przeglądania przez administratora.
Dowód zostanie ujawniony 12 sierpnia 2021, dając czas na aktualizacje.
Koniecznie zalecamy aktualizację do najnowszej wersji 1.9.2 dostępnej w repozytorium.
Ochrona przed lukami we wtyczkach WordPress?
Ochrona przed malware, atakami i podatnościami w WordPress!
Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!
Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.
Sprawdź nasz Hosting pod WordPress!
O zabezpieczeniach… | Hosting pod WordPress
W3 Total Cache < 2.1.5 – Reflected XSS (JS Context)
Wtyczka do optymalizacji WordPress jest na tyle popularną, że warto nadmienić o pomniejszej luce, które jednak może pozwolić osobie atakującej, gdy przekonać uwierzytelnionego administratora do kliknięcia łącza, na uruchomienie złośliwego kodu JavaScript w przeglądarce użytkownika, co może doprowadzić do pełnego włamania do witryny.
Zalecamy aktualizację do najnowszej wersji 2.1.5 dostępnej w repozytorium, gdzie usunięto tę lukę.
Paid Membership Pro < 2.5.10 – Cross-Site Scripting (XSS)
W kolejnej popularnej wtyczce do WordPress umożliwiającej zarządzającej subskrybowanymi użytkownikami została wykryta luka XSS na stronie edycji zamówienia oraz panelu administratora.
Zalecamy aktualizację do najnowszej wersji 2.5.10 dostępnej w repozytorium.