Te „złe” wtyczki WordPress lipiec 2021

30 lipca, 2021 06:21


img

Wykaz podatności wtyczek WordPress.

Lipiec 2021

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu lipcu 2021. Zachęcamy do zapoznania się z poniższą listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności. 

 

Admin Custom Login < 3.2.8 – Luka CSRF / XSS

CWE-352

Dość popularna wtyczka do zmiany ekranu logowania. Problemem jest funkcja loginbgSave z pliku ~/includes/Login-form-setting/Login-form-background.php umożliwiająca fałszowanie żądań pomiędzy witrynami. Luka zostanie udokumentowana 11 sierpnia 2021 r., więc administratorzy mają czas czas na aktualizację. 

Koniecznie zalecamy aktualizację do najnowszej wersji  3.2.8 dostępnej w repozytorium, gdzie ta luka została załatana. 

 

WordPress Download Manager < 3.1.25 – Authenticated Directory Traversal

CWE-22

WordPress Download Manager to popularna wtyczka do zarządzania plikami i dokumentami, śledzenia i kontrolowania pobierania plików z witryny WordPress. Problem z przechodzeniem pomiędzy katalogami w WordPress Download Manager <= 3.1.24 umożliwia uwierzytelnionym użytkownikom (o roli Contributor+) na uzyskanie poufnych informacji o pliku konfiguracyjnym, a także umożliwia użytkownikom Author+ przeprowadzanie ataków XSS, ustawiając Pobierz szablon na plik zawierający informacje o konfiguracji lub przesłany kod JavaScript z rozszerzeniem graficznym.

Dowód zostanie ujawniony 12 sierpnia 2021, dając czas na aktualizacje.

Koniecznie zalecamy aktualizację do najnowszej wersji  3.1.25 dostępnej w repozytorium.

 

Ochrona przed lukami we wtyczkach WordPress?

 

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

 

 

Favicon by RealFavicon Generator <= 1.3.20 – Reflected Cross-Site Scripting (XSS)

CWE-79

Popularna wtyczka służąca do łatwego generowania i konfiguracji favikonki dla przeglądarek internetowych w urządzeniach typu desktop oraz dla urządzeń mobilnych Apple, Android czy tych z systeme Windows. W tej wersji wtyczka nie oczyszcza ani nie zmienia jednego ze swoich parametrów przed wysłaniem go z powrotem w odpowiedzi, co prowadzi do luki XSS, który jest wykonywany w kontekście zalogowanego administratora.

Dowód zostanie opublikowany on-line jeśli po rozwiązaniu problemu przez twórców.

Na czas publikacji nie jest dostępna żadna łatka.

 

Advanced Shipment Tracking for WooCommerce < 3.2.7

CWE-269

Wtyczka często używana przez posiadaczy sklepów na wooCommerce. Służy do dodawania informacji o śledzeniu przesyłek kurierskich i pocztowych oraz ich realizacji. Wykryto podatność poprzez zmianę opcji uwierzytelnionych, umożliwiającą użytkownikom aktualizację dowolnych opcji w WordPress, a jak wiadomo uwierzytelnionym użytkownikiem jest zarejestrowany na sklepie klient. 

Zalecamy aktualizację do najnowszej wersji 3.2.7 dostępnej w repozytorium.

Źródło informacji

 

Hosting dla WordPress w HitMe!


Podziel się lub polub!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

dwa × cztery =