Nuove Vulnerabilità WordPress che interessano plugin e temi sono stati divulgati durante questo mese, eccole a seguire:
Vulnerabilità plug-in WordPress
Diverse nuove vulnerabilità WordPress nei plug-in sono state scoperte durante questo mese. Assicurati di seguire l’azione suggerita qui sotto per aggiornare il plugin o disinstallarlo completamente.
1. WP Statistics
WP Statistics plugin, versione 12.6.5, ed inferiore, vulnerabile al cross-site scripting.
Cosa dovresti fare?
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 12.6.6.1.
2. Paid Memberships Pro
Paid Memberships Pro plugin 2.0.5 e inferiore è vulnerabile a reindirizzamenti non convalidati, infatti Il plugin stava usando wp_redirect in luoghi in cui avrebbero dovuto usare wp_safe_redirect.
L’utilizzo della funzione wp_safe_redirect() impedisce reindirizzamenti dannosi ad altri host
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.0.6.
3. Crelly Slider
Crelly Slider plugin versione 1.3.4 e inferiore è vulnerabile a un è vulnerabile a un attacco di caricamento file arbitrario non autenticato. La vulnerabilità ha permesso agli abbonati di caricare ed eseguire uno script potenzialmente dannoso, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 1.3.5.
4. Breadcrumbs
Breadcrumbs versione 1.0.1 e inferiore aveva tre diverse vulnerabilità divulgate questo mese. Il plugin era vulnerabile a un XXS, e Cross-Site Request Forgery attack
Se un utente malintenzionato avesse sfruttato le vulnerabilità, sarebbe stato in grado di modificare le impostazioni di Breadcrumb, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
Le vulnerabilità sono state patchate. Eseguire l’aggiornamento alla versione 1.0.3.
5. Easy Digital Download
Easy Digital Downloads versione 2.9.16 e inferiore è vulnerabile a un attacco XSS memorizzato, dunque pericoloso per la tua sicurezza. La vulnerabilità potrebbe consentire un attacco Cross Site Scripting sugli indirizzi IP per i registri, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.9.16.
6. WordPress Download Manager
WordPress Download Manager versione 2.9.96 e inferiore ha vulnerabilità all’infezione di input con il modello e-mail e le impostazioni del pacchetto, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.9.97.
7. Affiliates Manager
Affiliates Manager versione 2.6.5 e inferiore è vulnerabile a un attacco di contraffazione richiesta tra siti. Nel plugin mancano i controlli di sicurezza appropriati e i nonces nelle impostazioni.
Il campo nonce viene utilizzato per convalidare che il contenuto della richiesta del modulo provenga dal sito corrente e non da un’altra posizione.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.6.6.
8. Related YT Videos
Related YT Videos versione 1.9.8 e successive sono vulnerabili a un attacco Cross-Site Request Forgery e XSS. Il plugin mancava dei nonces e dellla sanificazione corretta, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 1.9.9.
9. WP Google Maps
WP Google Maps versione 7.11.27 e inferiore è vulnerabile a un attacco di contraffazione richiesta tra siti. Nel modulo delle impostazioni sull’azione post amministratore mancava un nonce.
Il campo nonce viene utilizzato per convalidare che il contenuto della richiesta del modulo provenga dal sito corrente e non da un’altra posizione.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 7.11.28
Come sempre, questi sono i nostri consigli sulle vulnerabilità wordpress, se hai bisogno di noi puoi contattarci qui.
Fonte: (Originale) Ithemes.com