Plugin e temi vulnerabili sono la ragione principale per cui i siti Web di WordPress vengono violati.
Questo rapporto copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web. Ogni vulnerabilità include un livello di gravità di Bassa, Media, Alta o Critica.
La divulgazione e la segnalazione responsabili delle vulnerabilità è parte integrante del mantenimento della sicurezza della comunità di WordPress.
Per favore condividi questo post con i tuoi amici per aiutarti a spargere la voce e rendere WordPress più sicuro per tutti!
Vulnerabilità principali di WordPress
Nessuna nuova vulnerabilità principale di WordPress è stata rivelata questo mese.
Vulnerabilità dei plugin di WordPress
- Simple Admin Language Change
Plugin: Simple Admin Language Change
Vulnerabilità: modifica arbitraria delle impostazioni locali dell’utente
Patchato nella versione: 2.0.2
Punteggio di gravità: 4,3 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.0.2+. - Ship to eCourier
Plugin: Ship to eCourier
Vulnerabilità: aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione: 1.0.2
Punteggio di gravità: 5,4 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.2+. - Parcel Tracker eCourier
Plugin: Parcel Tracker eCourier
Vulnerabilità: aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione: 1.0.2
Punteggio di gravità: 5,4 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.2+. - PickPlugins Product Slider for WooCommerce
Plugin: PickPlugins Product Slider for WooCommerce
Vulnerabilità: cross-site scripting riflesso
Patchato nella versione: 1.13.22
Punteggio di gravità: 7,1 Alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.13.22+. - Hana Flv Player
Plugin: Hana Flv Player
Vulnerabilità: script cross-site archiviato autenticato Versione con patch: nessuna correzione nota Punteggio di gravità: 3,8 basso
Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch. - Hotjar Connecticator
Plugin: Hotjar Connecticator
Vulnerabilità: script cross-site archiviato autenticato Versione con patch: nessuna correzione nota – plugin chiuso
Punteggio di gravità: 3,8 basso
Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch. - GA Google Analytics
Plugin: GA Google Analytics
Vulnerabilità: script cross-site archiviato autenticato
Versione con patch: nessuna correzione nota
Punteggio di gravità: 5,9 medio
Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch. - Target First Plugin
Plugin: Target First Plugin
Vulnerabilità: script cross-site archiviato non autenticato tramite chiave di licenza Patchato nella versione: 1.0
Punteggio di gravità: 7,2 alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0+. - Leads-5050 Visitor Insights
Plugin: Leads-5050 Visitor Insights
Insights Vulnerabilità: modifica della licenza non autorizzata
Patchato nella versione: 1.1.0
Punteggio di gravità: 7,1 Alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.1.0+. - DSGVO All in one for WP
Plugin: DSGVO All in one for WP
Vulnerabilità: script cross-site archiviato non autenticato
Patchato nella versione: 4.0
Punteggio di gravità: 8,3 Alto La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 4.0+. - UltimateWoo
Plugin: UltimateWoo
Vulnerabilità: PHP Object Injection
Versione con patch: nessuna correzione nota – plugin chiuso
Punteggio di gravità: 5,6 medio
Questa vulnerabilità NON è stata corretta.Disinstalla ed elimina il plug-in fino al rilascio di una patch. - Ultimate Member
Plugin: Ultimate Member
Vulnerabilità: scripting cross-site riflesso autenticato
Patchato nella versione: 2.1.20
Punteggio di gravità: 4,4 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.1.20+. - Autoptimize
Plugin: Autoptimize
Vulnerabilità: script cross-site archiviato autenticato
Patchato nella versione: 2.8.4 Punteggio di gravità: 6,6 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.8.4+. - Zlick Paywall
Plugin: Zlick Paywall
Vulnerabilità: CSRF Bypass
Patchato nella versione: 2.2.2
Punteggio di gravità: 3,1 basso
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.2.2+. - ThemeHigh WooCommerce Wishlist and Comparison
Plugin: ThemeHigh WooCommerce Wishlist and Comparison
Vulnerabilità: chiamata AJAX non autorizzata
Patchato nella versione: 1.0.5
Punteggio di gravità: 7,2 alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.5+. - Simple Giveaways
Plugin: Simple Giveaways
Patchato nella versione: 2.36.2
Punteggio di gravità: 7,1 Alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.36.2+. - ReDi Restaurant Reservations
Vulnerabilità: ReDi Restaurant Reservations
Patchato nella versione: 21.0426
Punteggio di gravità: 7,1 Alto
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 21.0426+. - All in One SEO Pack
Plugin: All in One SEO Pack
Vulnerabilità: esecuzione di codice remoto
Patchato nella versione: 4.1.0.2
Punteggio di gravità: 6.6 medio
La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 4.1.0.2+. - LifterLMS
Plugin: LifterLMS
Vulnerabilità: Authenticated Stored Cross-Site Scripting in Edit Profile
Patchato nella versione: 4.21.1
Punteggio di gravità: 7.4 Alto
Vulnerabilità: Reflected Cross-Site Scripting via Coupon Code in Checkout
Patchato nella versione: 4.21.1
Punteggio di gravità: 6.1 Medium
Fonte originale:Ithemes.com
Scritto da Michael Moore il 12 maggio 2021
Ultimo aggiornamento il 12 maggio 2021