Relatório de vulnerabilidade do WordPress: janeiro de 2022, parte 2
Publicados: 2022-01-12Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura. Novidade neste relatório: as vulnerabilidades agora são listadas em ordem pelo número de instalações ativas, em vez da data da divulgação.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos !
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress foi lançada em 6 de janeiro de 2022 como uma versão de segurança de ciclo curto. Como o WordPress 5.8.3 é uma versão de segurança, recomendamos que você atualize todos os seus sites imediatamente.
Você pode atualizar para o WordPress 5.8.3 baixando do WordPress.org ou visitando o painel de administração do WordPress > Atualizações e clicando em Atualizar agora .
Se você tiver sites que habilitaram atualizações automáticas em segundo plano, eles já devem ter sido atualizados com êxito.
Núcleo do WordPress
Vulnerabilidade : SQL Injection via WP_Query
Corrigido na versão : 5.8.3
Explicação: Devido à falta de sanitização adequada no WP_Meta_Query, há potencial para injeção de SQL cega.
Vulnerabilidade : Author+ Armazenado XSS via Post Slugs
Corrigido na versão : 5.8.3
Explicação: Usuários autenticados com poucos privilégios (como autor) no núcleo do WordPress são capazes de executar JavaScript/executar ataques XSS armazenados por meio de slugs de postagem, o que pode afetar usuários com altos privilégios.
Vulnerabilidade : Injeção de Objeto Super Admin em Multisites
Corrigido na versão : 5.8.3
Explicação: Em um multisite, os usuários com a função Super Admin podem ignorar a proteção explícita/adicional sob certas condições por meio de injeção de objeto.
Vulnerabilidade : SQL Injection via WP_Meta_Query
Corrigido na versão : 5.8.3
Explicação: Devido à falta de sanitização adequada no WP_Meta_Query, há potencial para injeção de SQL cega.
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, as instalações ativas, o número da versão se corrigida e a classificação de gravidade.
1. Suporte SVG
Plugin: Suporte a SVG
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 800.000+
Corrigido na versão : 2.3.20
Pontuação de gravidade : baixa
2. Limpeza de ativos
Plugin: Limpeza de ativos
Vulnerabilidade : Script entre sites refletido via ação AJAX
Instalação ativa : 100.000+
Corrigido na versão : 1.3.8.5
Pontuação de gravidade : alta
Plugin: Limpeza de ativos
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 100.000+
Corrigido na versão : 1.3.8.5
Pontuação de gravidade : média
3. Assinaturas Pro pagas
Plugin: assinaturas pagas Pro
Vulnerabilidade : Injeção de SQL cega não autenticada
Instalação ativa : 100.000+
Corrigido na versão : 2.6.7
Pontuação de gravidade : Crítico
4. NextScripts: Auto-Poster de Redes Sociais
Plugin: NextScripts: Auto-Poster de Redes Sociais
Vulnerabilidade : exclusão arbitrária de postagem via CSRF
Instalação ativa : 90.000+
Corrigido na versão : 4.3.25
Pontuação de gravidade : média
Plugin: NextScripts: Auto-Poster de Redes Sociais
Vulnerabilidade : XSS armazenado não autenticado
Instalação ativa : 90.000+
Corrigido na versão : 4.3.25
Pontuação de gravidade : alta
5. Pesquisa de Marfim
Plugin: Pesquisa de Marfim
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Instalação ativa : 80.000+
Corrigido na versão : 5.4.1
Pontuação de gravidade : alta
6. Feed Social Fácil
Plugin: Feed Social Fácil
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 70.000+
Corrigido na versão : 6.2.7
Pontuação de gravidade : alta
7. Editor de estilo CSS visual
Plugin: Editor de estilo CSS visual
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 50.000+
Corrigido na versão : 7.5.4
Pontuação de gravidade : alta
8. Inscrições do Formulário de Contato
Plugin: Entradas de formulário de contato
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 40.000+
Corrigido na versão : 1.1.7
Pontuação de gravidade : alta
9. Gerenciador Cron Avançado
Plugin: Gerenciador Cron Avançado
Vulnerabilidade : Assinante+ Eventos Arbitrários/Cronogramas Criação/Exclusão
Instalação ativa : 30.000+
Corrigido na versão : 2.4.2
Pontuação de gravidade : média
10. Páginas legais do WPL
Plugin: WPLegalPages
Vulnerabilidade : Atualização de configurações arbitrárias do Assinante+ para XSS armazenado
Instalação ativa : 20.000+
Corrigido na versão : 2.7.1
Pontuação de gravidade : média
11. Estatísticas de visitantes do WP (tráfego em tempo real)
Plugin: Estatísticas de visitantes do WP (tráfego em tempo real)
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 20.000+
Corrigido na versão : 4.8
Pontuação de gravidade : alta
12. Pastas Perversas
Plugin: Pastas Perversas
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 10.000+
Corrigido na versão : 2.8.10
Pontuação de gravidade : alta
13. SuporteDoces
Plugin: SupportCandy
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Instalação ativa : 10.000+
Corrigido na versão : 2.2.7
Pontuação de gravidade : média
Plugin: SupportCandy
Vulnerabilidade : CSRF para script entre sites
Instalação ativa : 10.000+
Corrigido na versão : 2.2.7
Pontuação de gravidade : média
Plugin: SupportCandy
Vulnerabilidade : exclusão arbitrária de tíquete via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 2.2.7
Pontuação de gravidade : alta
Plugin: SupportCandy
Vulnerabilidade : exclusão de tíquete arbitrário não autenticado
Instalação ativa : 10.000+
Corrigido na versão : 2.2.7
Pontuação de gravidade : alta
Plugin: SupportCandy
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 10.000+
Corrigido na versão : 2.2.7
Pontuação de gravidade : média
14. Reorganize os produtos Woocommerce
Plugin: reorganizar produtos Woocommerce
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 10.000+
Corrigido na versão : 3.0.8
Pontuação de gravidade : alta
15. Bloqueador de país de localização IP2
Plugin: IP2Location Country Blocker
Vulnerabilidade : banimento arbitrário do país via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 2.26.6
Pontuação de gravidade : média
Plugin: IP2Location Country Blocker
Vulnerabilidade : Assinante + Banimento Arbitrário do País
Instalação ativa : 10.000+
Corrigido na versão : 2.26.6
Pontuação de gravidade : média
Plugin: IP2Location Country Blocker
Vulnerabilidade : Bypass de banimento
Instalação ativa : 10.000+
Corrigido na versão : 2.26.6
Pontuação de gravidade : média
16. Suporte incrível – WordPress HelpDesk & Plugin de Suporte
Plugin: Suporte incrível – Titan Framework
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 10.000+
Corrigido na versão : 6.0.11
Pontuação de gravidade : alta
17. Catálogo Final de Produtos
Plugin: Catálogo de produtos definitivo
Vulnerabilidade : Assinante+ Criação arbitrária de produtos e atualização de configurações
Instalação ativa : 10.000
Corrigido na versão : 5.0.26
Pontuação de gravidade : média
18. Incorporador de Documentos
Plugin: Document Embedder
Vulnerabilidade : Assinante+ Divulgação Arbitrária Privada/De rascunho do título da postagem
Instalação ativa : 9.000+
Corrigido na versão : 1.7.9
Pontuação de gravidade : média
Plugin: Document Embedder
Vulnerabilidade : Divulgação arbitrária não autenticada do título da postagem/rascunho
Instalação ativa : 9.000+
Corrigido na versão : 1.7.9
Pontuação de gravidade : média
19. RVM - Mapas Vetoriais Responsivos
Plugin: RVM – Mapas Vetoriais Responsivos
Vulnerabilidade : Assinante+ Leitura Arbitrária de Arquivo
Instalação ativa : 6.000+
Corrigido na versão : 6.4.2
Pontuação de gravidade : alta
20. Mídias
Plugin: Mediamatic
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 3.000+
Corrigido na versão : 2.8.1
Pontuação de gravidade : alta
21. Woopra
Plugin: Woopra
Vulnerabilidade : upload de arquivo arbitrário não autenticado
Instalação ativa : 2.000+
Corrigido na versão : 1.4.3.2
Pontuação de gravidade : Crítico
22. Gerenciador de Acesso de Direitos do Usuário
Plugin: Gerenciador de Acesso de Direitos do Usuário
Vulnerabilidade : Bypass de restrição de acesso
Instalação ativa : 900+
Corrigido na versão : 1.0.8
Pontuação de gravidade : média
23. Botão YuMoney
Plugin: botão YuMoney – Titan Framework
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 900+
Corrigido na versão : 2.4.0
Pontuação de gravidade : alta
24. Integração TrustMate.io para WooCommerce
Plugin: Integração TrustMate.io para WooCommerce
Vulnerabilidade : Atualização de configurações do plug-in arbitrário+ Subscriber+
Instalação ativa : 300+
Corrigido na versão : 1.8.12
Pontuação de gravidade : alta
Plugin: Integração TrustMate.io para WooCommerce
Vulnerabilidade : Atualização da opção de blog arbitrário+ Assinante+
Instalação ativa : 300+
Corrigido na versão : 1.7.1
Pontuação de gravidade : alta
25. Verdadeiro Ranker
Plugin: True Ranker
Vulnerabilidade : Acesso a arquivo arbitrário não autenticado via caminho de travessia
Instalação ativa : 300+
Corrigido na versão : 2.2.4
Pontuação de gravidade : alta
26. WebHotelier para WordPress
Plugin: WebHotelier para WordPress – Titan Framework
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 200+
Corrigido na versão : 1.6.1
Pontuação de gravidade : alta
Vulnerabilidades de plug-ins premium
Nesta seção, as vulnerabilidades mais recentes do plugin premium do WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
27. Gerenciador Cron Avançado Pro
Plugin: Advanced Cron Manager Pro
Vulnerabilidade : Assinante+ Eventos Arbitrários/Cronogramas Criação/Exclusão
Corrigido na versão : 2.5.3
Pontuação de gravidade : média
Vulnerabilidades do plug-in do WordPress: nenhuma correção conhecida
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
28. Formulário de Contato 7 Skins
Plugin: Formulário de Contato 7 Skins
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 30.000+
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média
29. WooRockets Nitro
Plugin: WooRockets Nitro
Vulnerabilidade : instalação arbitrária não autenticada de plug-in
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : Crítico
30. Afiliado Amazon
Plugin: Amazon Affiliate
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
