Rapporto sulla vulnerabilità di WordPress: ottobre 2021, parte 3

Pubblicato: 2021-10-21

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Contenuti del Rapporto del 20 ottobre 2021
    Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?
    Iscriviti all'e-mail settimanale

    Vulnerabilità principali di WordPress

    L'ultima versione del core di WordPress è la 5.8.1 è stata rilasciata come versione di sicurezza e manutenzione. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

    Vulnerabilità dei plugin di WordPress

    In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

    1. WPSchoolPress

    Plugin: WPSchoolPress
    Vulnerabilità : più amministratori + script tra siti archiviati
    Patchato nella versione : 2.1.17
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.1.17.

    Plugin: WPSchoolPress
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 2.1.10
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.1.10.

    Plugin: WPSchoolPress
    Vulnerabilità : Iniezioni SQL multiple autenticate
    Patchato nella versione : 2.1.10
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.1.10.

    2. YITH WooCommerce multi-vendor

    Plugin: Squaretype MYITH WooCommerce Multi Vendor
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 3.8.1
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.8.1.

    3. Print-O-Matic

    Plugin: Print-O-Matic
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 2.0.3
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.3.

    4. Registro delle torte

    Plugin: Registro della torta
    Vulnerabilità : SQL injection non autenticata
    Patchato nella versione : 3.7.1.6
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.7.1.6.

    Plugin: Registro della torta
    Vulnerabilità : SQL injection non autenticata
    Patchato nella versione : 3.7.1.6
    Punteggio di gravità : critico

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.7.1.6.

    5. Affiliati coupon per WooCommerce

    Plugin: Affiliati coupon per WooCommerce
    Vulnerabilità : eliminazione arbitraria delle visite di riferimento tramite CSRF
    Patchato nella versione : 4.11.3.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.11.3.4.

    6. Caricatore MAZ

    Plugin: caricatore MAZ
    Vulnerabilità : Contributor+ SQL injection
    Patchato nella versione : 1.3.3
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.3.

    7. Testo del piè di pagina della vetrina

    Plugin: testo del piè di pagina di Storefront
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : medio

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso a partire dal 6 ottobre 2021. Disinstalla ed elimina.

    8. Strumento per quiz Lite

    Plugin: Quiz Tool Lite
    Vulnerabilità : più amministratori + script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 28 settembre 2021. Disinstalla ed elimina.

    9. Qwizcard

    Plugin: Qwizcard
    Vulnerabilità : Admin+ Stored Cross Site Scripting
    Patchato nella versione : 3.62
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.62.

    10. Loco Traduttore

    Plugin: Loco Translate
    Vulnerabilità : Iniezione di codice PHP autenticata
    Patchato nella versione : 2.5.4
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.5.4.

    11. Generatore di tour virtuali di iPanorama 360 WordPress

    Plugin: iPanorama 360 WordPress Virtual Tour Builder
    Vulnerabilità : CSRF allo scripting cross-site archiviato
    Patchato nella versione : 1.6.22
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.22.

    12. Visione interattiva per WordPress

    Plugin: Vision Interactive per WordPress
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    13. ImageLinks Generatore di immagini interattivo per WordPress

    Plugin: ImageLinks Interactive Image Builder per WordPress
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    14. Plugin Js e Css personalizzato facile di WordPress

    Plugin: Plugin Js e Css personalizzato facile di WordPress
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    15. Flipbook iPages per WordPress

    Plugin: iPages Flipbook per WordPress
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 1.4.3
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.4.3.

    16. da 404 a 301

    Plugin: da 404 a 301
    Vulnerabilità : eliminazione dei registri tramite CSRF
    Patchato nella versione : 3.0.9
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.9.

    17. Post espirazione

    Plugin: Post espirazione
    Vulnerabilità : Contributor+ Programma di pubblicazione arbitraria
    Patchato nella versione : 2.6.0
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.22.

    18. Immagini di intestazione WP

    Plugin: immagini di intestazione WP
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 2.0.1
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.1.

    19. Abbonamenti e abbonamenti per PayPal

    Plugin: Abbonamenti e Abbonamenti per PayPal
    Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 30 settembre 2021. Disinstalla ed elimina.

    20. Accetta donazioni con PayPal

    Plugin: accetta donazioni con PayPal
    Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
    Patchato nella versione : 1.3.1
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.1.

    21. Eventi PayPal

    Plugin: Eventi PayPal
    Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 30 settembre 2021. Disinstalla ed elimina.

    22. Gestore del codice del piè di pagina dell'intestazione

    Plugin: Gestore del codice del piè di pagina dell'intestazione
    Vulnerabilità : Admin+ SQL injection
    Patchato nella versione : 1.1.14
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.14.

    23. wp Discuz

    Plugin: wpDiscus
    Vulnerabilità : Aggiunta/Edizione/Eliminazione arbitraria di commenti tramite CSRF
    Patchato nella versione : 7.3.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 7.3.4.

    24. Stampa 3D Lite

    Plugin: 3D Print Lite
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 1.9.1.6
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.1.6.

    25. Foro di Asgaros

    Plugin: Forum di Asgaros
    Vulnerabilità : reindirizzamento dell'eliminazione tramite CSRF
    Patchato nella versione : 1.15.13
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.15.13.

    26. Reindirizzamento SEO WP 301

    Plugin: WP SEO Reindirizzamento 301
    Vulnerabilità : reindirizzamento dell'eliminazione tramite CSRF
    Patchato nella versione : 2.3.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.3.2.

    27. WCFM – Frontend Manager per WooCommerce

    Plugin: WCFM – Frontend Manager per WooCommerce
    Vulnerabilità : cliente/abbonato + SQL injection
    Patchato nella versione : 6.5.12
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.5.12.

    28. Gestore di affiliazione

    Plugin: Gestore di affiliazione
    Vulnerabilità : Admin+ SQL injection
    Patchato nella versione : 2.8.7
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.8.7.

    29. Messaggi simili

    Plugin: post simili
    Vulnerabilità : Admin+ Esecuzione arbitraria di codice PHP
    Patchato nella versione : 3.1.6
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.1.6.

    30. Tabella dei prodotti WooCommerce

    Plugin: Tabella prodotti WooCommerce
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 1.0.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.0.4.

    31. Gestore Sconti per Prodotti

    Plugin: Gestore Sconti per Prodotti
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 3.4.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.5.

    32. Costruttore di testimonianze

    Plugin: Generatore di Testimonianze
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 1.6.0
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.0.

    33. Brizio

    Plugin: Brizy
    Vulnerabilità : Autorizzazione errata a Post Modifica
    Patchato nella versione : 2.3.12
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.3.12.

    Plugin: Brizy
    Vulnerabilità : scripting cross-site archiviato autenticato
    Patchato nella versione : 2.3.12
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.3.12.

    Plugin: Brizy
    Vulnerabilità : caricamento di file autenticati e traversata del percorso
    Patchato nella versione : 2.3.12
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.3.12.

    34. Categorie colorate

    Plugin: Categorie colorate
    Vulnerabilità : aggiornamento arbitrario dei colori tramite CSRF
    Patchato nella versione : 2.0.15
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.15.

    35. La cache più veloce del WP

    Plugin: WP Fastest Cache
    Vulnerabilità : Abbonato + SQL injection
    Patchato nella versione : 0.9.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 0.9.5.

    Plugin: WP Fastest Cache
    Vulnerabilità : CSRF allo scripting cross-site archiviato
    Patchato nella versione : 0.9.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 0.9.5.

    36. Direttore aziendale

    Plugin: Direttore aziendale
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    37. Job Board Vanila

    Plugin: Job Board Vanila
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    38. Elenco di lavoro WpGenius

    Plugin: Elenco lavori WpGenius
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    39. Responsabile del lavoro

    Plugin: Job Manager
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    40. Portale del lavoro

    Plugin: Portale del lavoro
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    41. Poster incrociato MyBB

    Plugin: MyBB Cross-Poster
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    42. Avvisi dell'amministratore KJM

    Plugin: Avvisi di amministrazione KJM
    Vulnerabilità : Autorizzazione errata a Post Modifica
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 13 ottobre 2021. Disinstalla ed elimina.

    43. HAL

    Plugin: HAL
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 2.2
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.2.

    44. Casella biografia dell'autore

    Plugin: Box Bio dell'autore
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 3.4.0
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.0.

    45. WordPress + Microsoft Office 365

    Plugin: WordPress + Microsoft Office 365
    Vulnerabilità : scripting cross-site archiviato non autenticato
    Patchato nella versione : 15.4
    Punteggio di gravità : critico

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 15.4.

    46. ​​Sondaggio YOP

    Plugin: sondaggio YOP
    Vulnerabilità : autore + script tra siti archiviati tramite il modulo Opzioni
    Patchato nella versione : 6.3.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.3.1.

    Plugin: sondaggio YOP
    Vulnerabilità : autore + script tra siti archiviati tramite modulo di anteprima
    Patchato nella versione : 6.3.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.3.1.

    47. Indeed Job Importer

    Plugin: Indeed Job Importer
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso a partire dal 14 ottobre 2021. Disinstalla ed elimina.

    48. MPL-Publisher – Pubblica automaticamente il tuo libro ed ebook

    Plugin: MPL-Publisher – Pubblica automaticamente il tuo libro ed ebook
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    49. JobBoardWP

    Plugin: JobBoardWP
    Vulnerabilità : Autorizzazione errata a Post Modifica
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso a partire dal 14 ottobre 2021. Disinstalla ed elimina.

    Vulnerabilità del tema WordPress

    1. Blog moderno di tipo quadrato

    Tema: Blog moderno di Squaretype
    Vulnerabilità : Divulgazione di post privati/programmati non autenticati
    Patchato nella versione : 3.0.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.4.

    Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

    Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

    1. Scansiona quotidianamente alla ricerca di vulnerabilità note del sito web

    Il plug-in iThemes Security Pro esegue la scansione per il motivo n. 1 per cui i siti WordPress vengono violati: plug-in obsoleti e temi con vulnerabilità note.

    2. Aggiornamento automatico a versioni sicure

    La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

    3. Monitora le modifiche ai file

    La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

    Ottieni iThemes Security Pro con il monitoraggio del sito Web 24 ore su 24, 7 giorni su 7

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

    • Scanner del sito per vulnerabilità di plugin e temi
    • Rilevamento delle modifiche ai file
    • Dashboard di sicurezza del sito Web in tempo reale
    • Registri di sicurezza di WordPress
    • Dispositivi affidabili
    • reCAPTCHA
    • Protezione dalla forza bruta
    • Autenticazione a due fattori
    • Link di accesso magici
    • Aumento dei privilegi
    • Controllo e rifiuto di password compromesse

    Ottieni iThemes Security Pro