Rapporto sulla vulnerabilità di WordPress: maggio 2021

Plugin e temi vulnerabili sono la ragione principale per cui i siti Web di WordPress vengono violati.

Questo rapporto copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web. Ogni vulnerabilità include un livello di gravità di Bassa, Media, Alta o Critica.

La divulgazione e la segnalazione responsabili delle vulnerabilità è parte integrante del mantenimento della sicurezza della comunità di WordPress.

Per favore condividi questo post con i tuoi amici per aiutarti a spargere la voce e rendere WordPress più sicuro per tutti!

Vulnerabilità principali di WordPress
Nessuna nuova vulnerabilità principale di WordPress è stata rivelata questo mese.

Vulnerabilità dei plugin di WordPress

  1. Simple Admin Language Change
    Plugin: Simple Admin Language Change
    Vulnerabilità: modifica arbitraria delle impostazioni locali dell’utente
    Patchato nella versione: 2.0.2
    Punteggio di gravità: 4,3 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.0.2+.
  2. Ship to eCourier
    Plugin: Ship to eCourier
    Vulnerabilità: aggiornamento delle impostazioni del plug-in tramite CSRF
    Patchato nella versione: 1.0.2
    Punteggio di gravità: 5,4 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.2+.
  3. Parcel Tracker eCourier
    Plugin: Parcel Tracker eCourier
    Vulnerabilità: aggiornamento delle impostazioni del plug-in tramite CSRF
    Patchato nella versione: 1.0.2
    Punteggio di gravità: 5,4 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.2+.
  4. PickPlugins Product Slider for WooCommerce
    Plugin: PickPlugins Product Slider for WooCommerce
    Vulnerabilità: cross-site scripting riflesso
    Patchato nella versione: 1.13.22
    Punteggio di gravità: 7,1 Alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.13.22+.
  5. Hana Flv Player
    Plugin: Hana Flv Player
    Vulnerabilità: script cross-site archiviato autenticato Versione con patch: nessuna correzione nota Punteggio di gravità: 3,8 basso
    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.
  6. Hotjar Connecticator
    Plugin: Hotjar Connecticator
    Vulnerabilità: script cross-site archiviato autenticato Versione con patch: nessuna correzione nota – plugin chiuso
    Punteggio di gravità: 3,8 basso
    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.
  7. GA Google Analytics
    Plugin: GA Google Analytics
    Vulnerabilità: script cross-site archiviato autenticato
    Versione con patch: nessuna correzione nota
    Punteggio di gravità: 5,9 medio
    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.
  8. Target First Plugin
    Plugin: Target First Plugin
    Vulnerabilità: script cross-site archiviato non autenticato tramite chiave di licenza Patchato nella versione: 1.0
    Punteggio di gravità: 7,2 alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0+.
  9. Leads-5050 Visitor Insights
    Plugin: Leads-5050 Visitor Insights
    Insights Vulnerabilità: modifica della licenza non autorizzata
    Patchato nella versione: 1.1.0
    Punteggio di gravità: 7,1 Alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.1.0+.
  10. DSGVO All in one for WP
    Plugin: DSGVO All in one for WP
    Vulnerabilità: script cross-site archiviato non autenticato
    Patchato nella versione: 4.0
    Punteggio di gravità: 8,3 Alto La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 4.0+.
  11. UltimateWoo
    Plugin: UltimateWoo
    Vulnerabilità: PHP Object Injection
    Versione con patch: nessuna correzione nota – plugin chiuso
    Punteggio di gravità: 5,6 medio
    Questa vulnerabilità NON è stata corretta.Disinstalla ed elimina il plug-in fino al rilascio di una patch.
  12. Ultimate Member
    Plugin: Ultimate Member
    Vulnerabilità: scripting cross-site riflesso autenticato
    Patchato nella versione: 2.1.20
    Punteggio di gravità: 4,4 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.1.20+.
  13. Autoptimize
    Plugin: Autoptimize
    Vulnerabilità: script cross-site archiviato autenticato
    Patchato nella versione: 2.8.4 Punteggio di gravità: 6,6 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.8.4+.
  14. Zlick Paywall
    Plugin: Zlick Paywall
    Vulnerabilità: CSRF Bypass
    Patchato nella versione: 2.2.2
    Punteggio di gravità: 3,1 basso
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.2.2+.
  15. ThemeHigh WooCommerce Wishlist and Comparison
    Plugin: ThemeHigh WooCommerce Wishlist and Comparison
    Vulnerabilità: chiamata AJAX non autorizzata
    Patchato nella versione: 1.0.5
    Punteggio di gravità: 7,2 alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 1.0.5+.
  16. Simple Giveaways
    Plugin: Simple Giveaways
    Patchato nella versione: 2.36.2
    Punteggio di gravità: 7,1 Alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 2.36.2+.
  17. ReDi Restaurant Reservations
    Vulnerabilità: ReDi Restaurant Reservations
    Patchato nella versione: 21.0426
    Punteggio di gravità: 7,1 Alto
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 21.0426+.
  18. All in One SEO Pack
    Plugin: All in One SEO Pack
    Vulnerabilità: esecuzione di codice remoto
    Patchato nella versione: 4.1.0.2
    Punteggio di gravità: 6.6 medio
    La vulnerabilità è stata corretta, quindi è necessario eseguire l’aggiornamento alla versione 4.1.0.2+.
  19. LifterLMS
    Plugin: LifterLMS
    Vulnerabilità: Authenticated Stored Cross-Site Scripting in Edit Profile
    Patchato nella versione: 4.21.1
    Punteggio di gravità: 7.4 Alto
    Vulnerabilità: Reflected Cross-Site Scripting via Coupon Code in Checkout
    Patchato nella versione: 4.21.1
    Punteggio di gravità: 6.1 Medium

 

Fonte originale:Ithemes.com

Scritto da Michael Moore il 12 maggio 2021

Ultimo aggiornamento il 12 maggio 2021

Leave A Reply