Vulnerabilità WordPress round up: giugno 2019, Parte 1

Vulnerabilità Wordpress

Nuove Vulnerabilità WordPress che interessano plugin e temi sono stati divulgati durante questo mese, eccole a seguire:

Vulnerabilità plug-in WordPress

Diverse nuove vulnerabilità WordPress nei plug-in sono state scoperte durante questo mese. Assicurati di seguire l’azione suggerita qui sotto per aggiornare il plugin o disinstallarlo completamente.

1. WP Statistics

WP Statistics plugin, versione 12.6.5, ed inferiore, vulnerabile al cross-site scripting.

Cosa dovresti fare?

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 12.6.6.1.

2. Paid Memberships Pro

Paid Memberships Pro plugin 2.0.5 e inferiore è vulnerabile a reindirizzamenti non convalidati, infatti Il plugin stava usando wp_redirect in luoghi in cui avrebbero dovuto usare wp_safe_redirect.

L’utilizzo della funzione wp_safe_redirect() impedisce reindirizzamenti dannosi ad altri host

Cosa dovresti fare

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.0.6.

3. Crelly Slider

Crelly Slider plugin versione 1.3.4 e inferiore è vulnerabile a un è vulnerabile a un attacco di caricamento file arbitrario non autenticato. La vulnerabilità ha permesso agli abbonati di caricare ed eseguire uno script potenzialmente dannoso, dunque pericoloso per la tua sicurezza.

Cosa dovresti fare

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 1.3.5.

4. Breadcrumbs

Breadcrumbs versione 1.0.1 e inferiore aveva tre diverse vulnerabilità divulgate questo mese. Il plugin era vulnerabile a un XXS, e Cross-Site Request Forgery attack
Se un utente malintenzionato avesse sfruttato le vulnerabilità, sarebbe stato in grado di modificare le impostazioni di Breadcrumb, dunque pericoloso per la tua sicurezza.

Cosa dovresti fare

Le vulnerabilità sono state patchate. Eseguire l’aggiornamento alla versione 1.0.3.

5. Easy Digital Download

Easy Digital Downloads versione 2.9.16 e inferiore è vulnerabile a un attacco XSS memorizzato, dunque pericoloso per la tua sicurezza. La vulnerabilità potrebbe consentire un attacco Cross Site Scripting sugli indirizzi IP per i registri, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.9.16.

6. WordPress Download Manager

WordPress Download Manager versione 2.9.96 e inferiore ha vulnerabilità all’infezione di input con il modello e-mail e le impostazioni del pacchetto, dunque pericoloso per la tua sicurezza.
Cosa dovresti fare
La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.9.97.

7. Affiliates Manager

Affiliates Manager versione 2.6.5 e inferiore è vulnerabile a un attacco di contraffazione richiesta tra siti. Nel plugin mancano i controlli di sicurezza appropriati e i nonces nelle impostazioni.

Il campo nonce viene utilizzato per convalidare che il contenuto della richiesta del modulo provenga dal sito corrente e non da un’altra posizione.

Cosa dovresti fare

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 2.6.6.

8. Related YT Videos

Related YT Videos versione 1.9.8 e successive sono vulnerabili a un attacco Cross-Site Request Forgery e XSS. Il plugin mancava dei nonces e dellla sanificazione corretta, dunque pericoloso per la tua sicurezza.

Cosa dovresti fare

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 1.9.9.

9. WP Google Maps

WP Google Maps versione 7.11.27 e inferiore è vulnerabile a un attacco di contraffazione richiesta tra siti. Nel modulo delle impostazioni sull’azione post amministratore mancava un nonce.

Il campo nonce viene utilizzato per convalidare che il contenuto della richiesta del modulo provenga dal sito corrente e non da un’altra posizione.

Cosa dovresti fare

La vulnerabilità è stata patchata. Eseguire l’aggiornamento alla versione 7.11.28

Come sempre, questi sono i nostri consigli sulle vulnerabilità wordpress, se hai bisogno di noi puoi contattarci qui.

Fonte: (Originale) Ithemes.com