Te „złe” wtyczki WordPress lipiec 2021
Adam 
Czas czytania: 3 min.
Wykaz podatności wtyczek WordPress.
Lipiec 2021
Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu lipcu 2021. Zachęcamy do zapoznania się z poniższą listą i aktualizacją wtyczek.
Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.
Admin Custom Login < 3.2.8 – Luka CSRF / XSS
Dość popularna wtyczka do zmiany ekranu logowania. Problemem jest funkcja loginbgSave z pliku ~/includes/Login-form-setting/Login-form-background.php umożliwiająca fałszowanie żądań pomiędzy witrynami. Luka zostanie udokumentowana 11 sierpnia 2021 r., więc administratorzy mają czas czas na aktualizację.
Koniecznie zalecamy aktualizację do najnowszej wersji 3.2.8 dostępnej w repozytorium, gdzie ta luka została załatana.
WordPress Download Manager < 3.1.25 – Authenticated Directory Traversal
WordPress Download Manager to popularna wtyczka do zarządzania plikami i dokumentami, śledzenia i kontrolowania pobierania plików z witryny WordPress. Problem z przechodzeniem pomiędzy katalogami w WordPress Download Manager <= 3.1.24 umożliwia uwierzytelnionym użytkownikom (o roli Contributor+) na uzyskanie poufnych informacji o pliku konfiguracyjnym, a także umożliwia użytkownikom Author+ przeprowadzanie ataków XSS, ustawiając Pobierz szablon na plik zawierający informacje o konfiguracji lub przesłany kod JavaScript z rozszerzeniem graficznym.
Dowód zostanie ujawniony 12 sierpnia 2021, dając czas na aktualizacje.
Koniecznie zalecamy aktualizację do najnowszej wersji 3.1.25 dostępnej w repozytorium.
Ochrona przed lukami we wtyczkach WordPress?
Ochrona przed malware, atakami i podatnościami w WordPress!
Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!
Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.
Sprawdź nasz Hosting pod WordPress!
O zabezpieczeniach… | Hosting pod WordPress
Favicon by RealFavicon Generator <= 1.3.20 – Reflected Cross-Site Scripting (XSS)
Popularna wtyczka służąca do łatwego generowania i konfiguracji favikonki dla przeglądarek internetowych w urządzeniach typu desktop oraz dla urządzeń mobilnych Apple, Android czy tych z systeme Windows. W tej wersji wtyczka nie oczyszcza ani nie zmienia jednego ze swoich parametrów przed wysłaniem go z powrotem w odpowiedzi, co prowadzi do luki XSS, który jest wykonywany w kontekście zalogowanego administratora.
Dowód zostanie opublikowany on-line jeśli po rozwiązaniu problemu przez twórców.
Na czas publikacji nie jest dostępna żadna łatka.
Advanced Shipment Tracking for WooCommerce < 3.2.7
Wtyczka często używana przez posiadaczy sklepów na wooCommerce. Służy do dodawania informacji o śledzeniu przesyłek kurierskich i pocztowych oraz ich realizacji. Wykryto podatność poprzez zmianę opcji uwierzytelnionych, umożliwiającą użytkownikom aktualizację dowolnych opcji w WordPress, a jak wiadomo uwierzytelnionym użytkownikiem jest zarejestrowany na sklepie klient.
Zalecamy aktualizację do najnowszej wersji 3.2.7 dostępnej w repozytorium.
Hosting dla WordPress w HitMe!
