Relatório de vulnerabilidade do WordPress: outubro de 2021, parte 2
Publicados: 2021-10-13Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.1 foi lançada como uma versão de segurança e manutenção. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Botão Comprar Agora Fácil do PayPal
Plugin: Botão Comprar Agora Fácil do PayPal
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : 1.7.3
Pontuação de gravidade : alta
2. Eventos Facilitados
Plugin: Eventos Facilitados
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 2.2.24
Pontuação de gravidade : baixa
3. Melhores Mensagens da BP
Plugin: BP Better Messages
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.9.9.41
Pontuação de gravidade : alta
Plugin: BP Better Messages
Vulnerabilidade : Vários CSRF
Corrigido na versão : 1.9.9.41
Pontuação de gravidade : média
4. Construtor Themify
Plugin: Themify Builder
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 5.3.2
Pontuação de gravidade : alta
5. Cabeçalho de Expiração do Futuro Distante
Plugin: Cabeçalho de Expiração do Futuro Distante
Vulnerabilidade : Atualização de configurações do plug-in via CSRF
Corrigido na versão : 1.5
Pontuação de gravidade : média
6. Controle de origem da imagem
Plug-in: controle de origem da imagem
Vulnerabilidade : Contribuidor + Alteração Arbitrária do Meta Valor do Post
Corrigido na versão : 2.3.1
Pontuação de gravidade : média
7. Controle deslizante de logotipo e vitrine
Plugin: Logo Slider e Showcase
Vulnerabilidade : Atualização de configurações do plug-in do editor
Corrigido na versão : 1.3.37
Pontuação de gravidade : baixa
8. Gateway de pagamento Cardinity para WooCommerce
Plugin: Cardinity Payment Gateway para WooCommerce
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.0.7
Pontuação de gravidade : alta
9. Leitor de áudio MP3 para música, rádio e podcast da Sonaar
Plugin: MP3 Audio Player for Music, Radio & Podcast by Sonaar
Vulnerabilidade : Vários Admin + Cross Site Scripting
Corrigido na versão : 2.4.2
Pontuação de gravidade : baixa
10. Doação Paypal
Plugin: Doação Paypal
Vulnerabilidade : CSRF para exclusão arbitrária de postagem
Corrigido na versão : 1.3.1
Pontuação de gravidade : média
Plugin: Doação Paypal
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : 1.3.1
Pontuação de gravidade : alta
11. Em breve, em modo de construção e manutenção por Dazzler
Plugin: Em breve, em modo de construção e manutenção por Dazzler
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.6.7
Pontuação de gravidade : baixa
12. Traduzir WordPress – Google Language Translator
Plugin: Traduzir WordPress – Google Language Translator
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 6.0.12
Pontuação de gravidade : baixa
13. Assistente de Produto Booking.com
Plugin: Assistente de Produto Booking.com
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
14. Criador de Banner Booking.com
Plugin: Criador de Banner Booking.com
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
15. Monitor de download simples
Plugin: Monitor de download simples
Vulnerabilidade : redefinição de log não autorizada
Corrigido na versão : 3.9.6
Pontuação de gravidade : média
Plugin: Monitor de download simples
Vulnerabilidade : Remoção Arbitrária de Miniaturas
Corrigido na versão : 3.9.6
Pontuação de gravidade : média
Plugin: Monitor de download simples
Vulnerabilidade : acesso a log não autenticado
Corrigido na versão : 3.9.6
Pontuação de gravidade : média
Plugin: Monitor de download simples
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.9.5
Pontuação de gravidade : alta
Plugin: Monitor de download simples
Vulnerabilidade : Contributor+ Script entre sites armazenado por meio de miniatura de arquivo
Corrigido na versão : 3.9.5
Pontuação de gravidade : alta
16. Bate-papo de duas vias
Plugin: bate-papo bidirecional
Vulnerabilidade : Vários CSRF
Corrigido na versão : 3.1.5
Pontuação de gravidade : média
Plugin: bate-papo bidirecional
Vulnerabilidade : Inclusão de Arquivo Local Admin+
Corrigido na versão : 3.1.5
Pontuação de gravidade : baixa
17. WP-Recall
Plugin: WP-Recall
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 16.24.48
Pontuação de gravidade : alta
18. JobSearch WP Job Board
Plugin: JobSearch WP Job Board
Vulnerabilidade : Atualização arbitrária de opções de blog para assinante+
Corrigido na versão : 1.8.2
Pontuação de gravidade : alta
Plugin: JobSearch WP Job Board
Vulnerabilidade : Atualização de configurações do plug-in não autenticado
Corrigido na versão : 1.8.2
Pontuação de gravidade : média
Plugin: JobSearch WP Job Board
Vulnerabilidade : Assinante+ Adicionar/Atualizar Chamadas de Agendamento
Corrigido na versão : 1.8.2
Pontuação de gravidade : média
19. Carrinho de compras de comércio eletrônico TheCartPress
Plugin: Carrinho de compras de comércio eletrônico TheCartPress
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
20. API da MStore
Plugin: API MStore
Vulnerabilidade : upload de arquivo PHP não autenticado
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : Crítico
21. Renomeador de arquivo de mídia - Renomeação automática e manual
Plugin: Renomeador de arquivos de mídia - Renomeação automática e manual
Vulnerabilidade : Atualização do título da mídia/nome do arquivo/estado de bloqueio via CSRF
Corrigido na versão : 5.2.7
Pontuação de gravidade : média
22. Gato de Lote
Plugin: Batch Cat
Vulnerabilidade : Assinante+ Categorias Arbitrárias Adicionar/Definir/Excluir a Posts
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
23. qTraduzir X
Plugin: qTranslate X
Vulnerabilidade : Vários Admin+ Scripts entre Sites Armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
24. Informações sobre viagens mundiais
Plugin: Informações sobre viagens mundiais
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
25. WP Survey Plus
Plugin: WP Survey Plus
Vulnerabilidade : Assinante+ Chamadas AJAX
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
26. Página do mapa do site WP
Plugin: WP Sitemap Page
Vulnerabilidade : Admin+ Stored Cross Site Scripting
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : baixa
27. WP Bannerize 2.0.0
Plugin: WP Bannerize 2.0.0
Vulnerabilidade : injeção de SQL autenticada
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
28. Genie WP Favicon
Plugin: Genie WP Favicon
Vulnerabilidade : Alteração Arbitrária de Favicon via CSRF
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
29. Renomeação de mídia Phoenix
Plugin: Phoenix Media Rename
Vulnerabilidade : Renomeação arbitrária de arquivos de mídia do autor
Corrigido na versão : 3.4.4
Pontuação de gravidade : média
30. Estatísticas em tempo real de tráfego de visitantes
Plugin: Estatísticas em tempo real de tráfego de visitantes
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 3.9
Pontuação de gravidade : alta
31. Botões AddToAny Share
Plugin: botões de compartilhamento AddToAny
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.7.48
Pontuação de gravidade : baixa
32. Construtor de formulários formidável
Plugin: Formidable Form Builder
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 5.0.07
Pontuação de gravidade : baixa
33. Segurança à prova de balas
Plugin: Segurança à prova de balas
Vulnerabilidade : Divulgação de informações confidenciais
Corrigido na versão : 5.2
Pontuação de gravidade : média
34. WP Todas as Exportações
Plugin: WP All Export
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.3.1
Pontuação de gravidade : baixa
35. Redirecione a página de erro 404 para a página inicial ou página personalizada com logs
Plugin: Redirecionar a página de erro 404 para a página inicial ou página personalizada com logs
Vulnerabilidade : exclusão de log via CSRF
Corrigido na versão : 1.7.9
Pontuação de gravidade : média
36. Acesse o importador de demonstração
Plugin: Acesse o importador de demonstração
Vulnerabilidade : Assinante+ Upload Arbitrário de Arquivo
Corrigido na versão : 1.0.7
Pontuação de gravidade : alta
37. Baixar Monitor
Plugin: Baixar Monitor
Vulnerabilidade : download não autenticado de logs
Corrigido na versão : 1.9.7
Pontuação de gravidade : média
Plugin: Baixar Monitor
Vulnerabilidade : Script entre sites refletido (XSS)
Corrigido na versão : 1.7.1
Pontuação de gravidade : média
Plugin: Baixar Monitor
Vulnerabilidade : lista de diretório autenticada
Corrigido na versão : 1.6.4
Pontuação de gravidade : média
Plugin: Baixar Monitor
Vulnerabilidade : Scripts entre sites refletidos múltiplos
Corrigido na versão : 3.3.6.2
Pontuação de gravidade : média
38. Pop-ups ilimitados
Plugin: PopUps Ilimitados
Vulnerabilidade : Author+ SQL Injection
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
39. Schreikasten
Plugin: Schreikasten
Vulnerabilidade : Author+ SQL Injections
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
40. Postar Conteúdo XMLRPC
Plugin: Postar conteúdo XMLRPC
Vulnerabilidade : Author+ SQL Injections
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
41. Formulários Uau
Plugin: Wow Forms
Vulnerabilidade : Author+ SQL Injections
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
42. Hiperlink automático
Plugin: G Auto-Hyperlink
Vulnerabilidade : Author+ SQL Injection
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
43. CSS Camaleão
Plugin: Chameleon CSS
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : Crítico
44. Catálogo Spider
Plugin: SpiderCatalog
Vulnerabilidade : Author+ SQL Injection
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
45. Conselho de Apoio
Plugin: Placa de Suporte
Vulnerabilidade : script entre sites armazenado do Agent+
Corrigido na versão : 3.3.5
Pontuação de gravidade : média
46. Portão da Idade
Plugin: Age Gate
Vulnerabilidade : script entre sites armazenado autenticado
Corrigido na versão : 2.16.4
Pontuação de gravidade : média
47. Postagens relacionadas em linha
Plugin: Postagens Relacionadas Inline
Vulnerabilidade : Admin+ Cross-Site Scripting
Corrigido na versão : 3.0.5
Pontuação de gravidade : baixa
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Verificar vulnerabilidades de sites conhecidos
O plug-in do iThemes Security Pro verifica o motivo número 1 de os sites do WordPress serem invadidos: plug-ins e temas desatualizados com vulnerabilidades conhecidas.
2. Atualização automática para versões seguras
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Monitorar alterações de arquivos
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.