Informe de vulnerabilidad de WordPress: octubre de 2021, parte 3

Publicado: 2021-10-21

Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.

Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

Contenido del Informe del 20 de octubre de 2021
    ¿Quiere recibir este informe en su bandeja de entrada cada semana?
    Suscríbete al correo electrónico semanal

    Vulnerabilidades del núcleo de WordPress

    La última versión del núcleo de WordPress es 5.8.1 y se lanzó como una versión de seguridad y mantenimiento. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!

    Vulnerabilidades del complemento de WordPress

    En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.

    1. WPSschoolPress

    Complemento : WPSchoolPress
    Vulnerabilidad : secuencias de comandos almacenadas entre sitios múltiples Admin+
    Parcheado en la versión : 2.1.17
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.1.17.

    Complemento : WPSchoolPress
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 2.1.10
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.1.10.

    Complemento : WPSchoolPress
    Vulnerabilidad : Múltiples inyecciones SQL autenticadas
    Parcheado en la versión : 2.1.10
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.1.10.

    2. YITH WooCommerce Multiproveedor

    Complemento : Squaretype MYITH WooCommerce Multi Vendor
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.8.1
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.8.1.

    3. Print-O-Matic

    Complemento: Print-O-Matic
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 2.0.3
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.3.

    4. Registro de pasteles

    Complemento: Registro de tarta
    Vulnerabilidad : inyección SQL no autenticada
    Parcheado en la versión : 3.7.1.6
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.7.1.6.

    Complemento: Registro de tarta
    Vulnerabilidad : inyección SQL no autenticada
    Parcheado en la versión : 3.7.1.6
    Puntuación de gravedad : crítica

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.7.1.6.

    5. Afiliados de cupones para WooCommerce

    Complemento: afiliados de cupones para WooCommerce
    Vulnerabilidad : Eliminación de visitas de referencia arbitrarias a través de CSRF
    Parcheado en la versión : 4.11.3.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.11.3.4.

    6. Cargador MAZ

    Complemento: Cargador MAZ
    Vulnerabilidad : colaborador + inyección SQL
    Parcheado en la versión : 1.3.3
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.3.

    7. Texto del pie de página de la tienda

    Complemento: Texto de pie de página de escaparate
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : media

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 6 de octubre de 2021. Desinstale y elimine.

    8. Herramienta de prueba Lite

    Complemento: Quiz Tool Lite
    Vulnerabilidad : secuencias de comandos almacenadas entre sitios múltiples Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 28 de septiembre de 2021. Desinstale y elimine.

    9. Tarjetas mágicas

    Complemento : Qwizcards
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 3.62
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.62.

    10. Loco Traducir

    Complemento: Traducir Loco
    Vulnerabilidad : inyección de código PHP autenticado
    Parcheado en la versión : 2.5.4
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.5.4.

    11. iPanorama 360 Creador de recorridos virtuales de WordPress

    Complemento : iPanorama 360 WordPress Virtual Tour Builder
    Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
    Parcheado en la versión : 1.6.22
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.22.

    12. Visión interactiva para WordPress

    Complemento: Vision Interactive para WordPress
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    13. Creador de imágenes interactivo de ImageLinks para WordPress

    Complemento : ImageLinks Interactive Image Builder para WordPress
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    14. Complemento de WordPress Easy Custom Js y Css

    Complemento: WordPress Easy Custom Js y Css Plugin
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    15. Flipbook de iPages para WordPress

    Complemento : iPages Flipbook para WordPress
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 1.4.3
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.4.3.

    16. 404 a 301

    Complemento: 404 a 301
    Vulnerabilidad : eliminación de registros a través de CSRF
    Parcheado en la versión : 3.0.9
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.9.

    17. Posterior al espirador

    Complemento: Post Expirator
    Vulnerabilidad : Colaborador + Calendario de publicación arbitraria
    Parcheado en la versión : 2.6.0
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.22.

    18. Imágenes de encabezado de WP

    Complemento: imágenes de encabezado WP
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 2.0.1
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.1.

    19. Suscripciones y Membresías para PayPal

    Complemento: suscripciones y membresías para PayPal
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 30 de septiembre de 2021. Desinstale y elimine.

    20. Acepta donaciones con PayPal

    Complemento: aceptar donaciones con PayPal
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
    Parcheado en la versión : 1.3.1
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.1.

    21. Eventos de PayPal

    Complemento: Eventos de PayPal
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 30 de septiembre de 2021. Desinstale y elimine.

    22. Administrador de código de pie de página de encabezado

    Complemento: Administrador de código de pie de página de encabezado
    Vulnerabilidad : Admin+ Inyecciones SQL
    Parcheado en la versión : 1.1.14
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.14.

    23. wp Discuz

    Complemento : wpDiscuz
    Vulnerabilidad : Adición/Edición/Eliminación de comentarios arbitrarios a través de CSRF
    Parcheado en la versión : 7.3.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 7.3.4.

    24. Impresión 3D Lite

    Complemento: 3D Print Lite
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 1.9.1.6
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.9.1.6.

    25. Foro de Asgarós

    Complemento : Foro de Asgaros
    Vulnerabilidad : eliminación de redirección a través de CSRF
    Parcheado en la versión : 1.15.13
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.15.13.

    26. Redirección WP SEO 301

    Complemento: WP SEO Redirect 301
    Vulnerabilidad : eliminación de redirección a través de CSRF
    Parcheado en la versión : 2.3.2
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.2.

    27. WCFM – Administrador de interfaz para WooCommerce

    Complemento : WCFM – Administrador de interfaz para WooCommerce
    Vulnerabilidad : Cliente/Suscriptor+ Inyección SQL
    Parcheado en la versión : 6.5.12
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 6.5.12.

    28. Gerente de Afiliados

    Complemento: Administrador de afiliados
    Vulnerabilidad : Admin+ Inyecciones SQL
    Parcheado en la versión : 2.8.7
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.8.7.

    29. Publicaciones similares

    Complemento: publicaciones similares
    Vulnerabilidad : Admin+ Ejecución de código PHP arbitrario
    Parcheado en la versión : 3.1.6
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.1.6.

    30. Tabla de productos de WooCommerce

    Complemento: Tabla de productos de WooCommerce
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 1.0.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.0.4.

    31. Administrador de descuentos para productos

    Complemento: Administrador de descuentos para productos
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.4.5
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.4.5.

    32. Creador de testimonios

    Complemento: generador de testimonios
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 1.6.0
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.0.

    33. Brillante

    Complemento: Brizy
    Vulnerabilidad : autorización incorrecta para publicar la modificación
    Parcheado en la versión : 2.3.12
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.12.

    Complemento: Brizy
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas
    Parcheado en la versión : 2.3.12
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.12.

    Complemento: Brizy
    Vulnerabilidad : carga de archivos autenticados y recorrido de ruta
    Parcheado en la versión : 2.3.12
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.12.

    34. Categorías coloridas

    Complemento: Categorías coloridas
    Vulnerabilidad : actualización de colores arbitrarios a través de CSRF
    Parcheado en la versión : 2.0.15
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.15.

    35. Caché más rápido de WP

    Complemento: WP Fastest Cache
    Vulnerabilidad : suscriptor + inyección SQL
    Versión parcheada: 0.9.5
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 0.9.5.

    Complemento: caché más rápido de WP
    Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
    Versión parcheada: 0.9.5
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 0.9.5.

    36. Gerente Comercial

    Complemento: Administrador comercial
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    37. Bolsa de Trabajo Vainilla

    Complemento: Bolsa de trabajo Vanila
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    38. Listado de trabajos de WpGenius

    Complemento : Lista de trabajos de WpGenius
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    39. Administrador de trabajos

    Complemento: Administrador de trabajos
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    40. Portal de empleo

    Complemento: Portal de empleo
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    41. Póster cruzado de MyBB

    Complemento: MyBB Cross-Poster
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    42. Avisos de administración de KJM

    Complemento : Avisos de administración de KJM
    Vulnerabilidad : autorización incorrecta para publicar la modificación
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 13 de octubre de 2021. Desinstale y elimine.

    43. HAL

    Complemento: HAL
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 2.2
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.2.

    44. Cuadro biográfico del autor

    Complemento: autor Bio Box
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 3.4.0
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 3.4.0.

    45. WordPress + Microsoft Office 365

    Complemento: WordPress + Microsoft Office 365
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
    Parcheado en la versión : 15.4
    Puntuación de gravedad : crítica

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 15.4.

    46. ​​Encuesta YOP

    Complemento : Encuesta YOP
    Vulnerabilidad : Author+ Stored Cross-Site Scripting a través del módulo de opciones
    Parcheado en la versión : 6.3.1
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 6.3.1.

    Complemento : Encuesta YOP
    Vulnerabilidad : Author+ Stored Cross-Site Scripting a través del módulo de vista previa
    Parcheado en la versión : 6.3.1
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 6.3.1.

    47. Indeed Job Importer

    Complemento: Indeed Job Importer
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 14 de octubre de 2021. Desinstale y elimine.

    48. MPL-Publisher: publique usted mismo su libro y libro electrónico

    Complemento: MPL-Publisher: publique usted mismo su libro y libro electrónico
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    49. Junta de TrabajoWP

    Complemento : JobBoardWP
    Vulnerabilidad : autorización incorrecta para publicar la modificación
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 14 de octubre de 2021. Desinstale y elimine.

    Vulnerabilidades del tema de WordPress

    1. Blog moderno de Squaretype

    Tema: Squaretype Blog moderno
    Vulnerabilidad : Divulgación de publicaciones privadas/programadas no autenticadas
    Parcheado en la versión : 3.0.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.4.

    Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

    Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.

    1. Escanee diariamente en busca de vulnerabilidades conocidas del sitio web

    El complemento iThemes Security Pro busca la principal razón por la que los sitios de WordPress son pirateados: complementos obsoletos y temas con vulnerabilidades conocidas.

    2. Actualización automática a versiones seguras

    La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.

    3. Supervisar los cambios de archivos

    La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.

    Obtenga iThemes Security Pro con monitoreo de sitios web 24/7

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.

    • Escáner del sitio para vulnerabilidades de complementos y temas
    • Detección de cambio de archivo
    • Tablero de seguridad del sitio web en tiempo real
    • Registros de seguridad de WordPress
    • Dispositivos de confianza
    • reCAPTCHA
    • Protección de fuerza bruta
    • Autenticación de dos factores
    • Enlaces de inicio de sesión mágicos
    • Escalada de privilegios
    • Comprobación y rechazo de contraseñas comprometidas

    Obtenga iThemes Security Pro