Relatório de vulnerabilidade do WordPress: outubro de 2021, parte 3

Publicados: 2021-10-21

Plugins e temas vulneráveis ​​são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.

Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Conteúdo do Relatório de 20 de outubro de 2021
    Quer que este relatório seja entregue em sua caixa de entrada toda semana?
    Assine o e-mail semanal

    Vulnerabilidades do WordPress Core

    A versão mais recente do núcleo do WordPress é 5.8.1 foi lançada como uma versão de segurança e manutenção. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!

    Vulnerabilidades de plugins do WordPress

    Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.

    1. WPSschool Press

    Plugin: WPSschoolPress
    Vulnerabilidade : Vários Admin+ Scripts entre Sites Armazenados
    Corrigido na versão : 2.1.17
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1.17.

    Plugin: WPSschoolPress
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 2.1.10
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1.10.

    Plugin: WPSschoolPress
    Vulnerabilidade : múltiplas injeções de SQL autenticadas
    Corrigido na versão : 2.1.10
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1.10.

    2. YITH WooCommerce Multi Vendor

    Plugin: Squaretype MYITH WooCommerce Multi Vendor
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 3.8.1
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.8.1.

    3. Imprimir-O-Matic

    Plugin: Print-O-Matic
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : 2.0.3
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.3.

    4. Registro de pizza

    Plugin: Pie Register
    Vulnerabilidade : injeção de SQL não autenticada
    Corrigido na versão : 3.7.1.6
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.7.1.6.

    Plugin: Pie Register
    Vulnerabilidade : injeção de SQL não autenticada
    Corrigido na versão : 3.7.1.6
    Pontuação de gravidade : Crítico

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.7.1.6.

    5. Afiliados de cupom para WooCommerce

    Plugin: Afiliados de cupom para WooCommerce
    Vulnerabilidade : exclusão arbitrária de visitas de referência via CSRF
    Corrigido na versão : 4.11.3.4
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 4.11.3.4.

    6. Carregador MAZ

    Plugin: MAZ Loader
    Vulnerabilidade : Contribuidor + SQL Injection
    Corrigido na versão : 1.3.3
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.3.

    7. Texto do rodapé da vitrine

    Plugin: Texto do rodapé da vitrine
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : média

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 6 de outubro de 2021. Desinstale e exclua.

    8. Quiz Tool Lite

    Plugin: Quiz Tool Lite
    Vulnerabilidade : Vários Admin+ Scripts entre Sites Armazenados
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 28 de setembro de 2021. Desinstale e exclua.

    9. Qwizcards

    Plugin: Qwizcards
    Vulnerabilidade : Admin+ Stored Cross Site Scripting
    Corrigido na versão : 3.62
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.62.

    10. Tradutor Loco

    Plugin: Loco Tradutor
    Vulnerabilidade : injeção de código PHP autenticada
    Corrigido na versão : 2.5.4
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.5.4.

    11. Construtor de tour virtual iPanorama 360 WordPress

    Plugin: iPanorama 360 WordPress Virtual Tour Builder
    Vulnerabilidade : CSRF para scripts entre sites armazenados
    Corrigido na versão : 1.6.22
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.6.22.

    12. Visão interativa para WordPress

    Plugin: Visão interativa para WordPress
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : nenhuma correção conhecida
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    13. Construtor de imagens interativas ImageLinks para WordPress

    Plugin: Construtor de Imagens Interativas ImageLinks para WordPress
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : nenhuma correção conhecida
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    14. Plugin WordPress Easy Custom Js e CSS

    Plugin: WordPress Easy Custom Js and CSS Plugin
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : nenhuma correção conhecida
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    15. Flipbook iPages para WordPress

    Plugin: iPages Flipbook para WordPress
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 1.4.3
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.4.3.

    16. 404 a 301

    Plug-in: 404 a 301
    Vulnerabilidade : Exclusão de Logs via CSRF
    Corrigido na versão : 3.0.9
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.0.9.

    17. Pós Expirador

    Plugin: Post Expirator
    Vulnerabilidade : Contribuidor + Cronograma de postagem arbitrária
    Corrigido na versão : 2.6.0
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.6.22.

    18. Imagens de cabeçalho WP

    Plugin: WP Header Images
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 2.0.1
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.1.

    19. Assinaturas e associações para PayPal

    Plugin: Assinaturas e associações para PayPal
    Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 30 de setembro de 2021. Desinstale e exclua.

    20. Aceite doações com o PayPal

    Plugin: Aceite Doações com PayPal
    Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
    Corrigido na versão : 1.3.1
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.1.

    21. Eventos do PayPal

    Plugin: Eventos do PayPal
    Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 30 de setembro de 2021. Desinstale e exclua.

    22. Gerenciador de código de rodapé de cabeçalho

    Plugin: Gerenciador de Código de Rodapé de Cabeçalho
    Vulnerabilidade : Admin+ SQL Injections
    Corrigido na versão : 1.1.14
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.1.14.

    23. wpDisco

    Plugin: wpDiscuz
    Vulnerabilidade : adição/edição/exclusão de comentários arbitrários via CSRF
    Corrigido na versão : 7.3.4
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 7.3.4.

    24. Impressão 3D Lite

    Plug-in: 3D Print Lite
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 1.9.1.6
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.9.1.6.

    25. Fórum Asgaros

    Plugin: Fórum Asgaros
    Vulnerabilidade : Redirecionar exclusão via CSRF
    Corrigido na versão : 1.15.13
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.15.13.

    26. Redirecionamento de SEO WP 301

    Plugin: WP SEO Redirect 301
    Vulnerabilidade : Redirecionar exclusão via CSRF
    Corrigido na versão : 2.3.2
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.2.

    27. WCFM – Frontend Manager para WooCommerce

    Plugin: WCFM – Frontend Manager para WooCommerce
    Vulnerabilidade : Cliente/Assinante + SQL Injection
    Corrigido na versão : 6.5.12
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.5.12.

    28. Gerente de Afiliados

    Plugin: Gerenciador de Afiliados
    Vulnerabilidade : Admin+ SQL Injections
    Corrigido na versão : 2.8.7
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.8.7.

    29. Postagens Semelhantes

    Plug-in: postagens semelhantes
    Vulnerabilidade : Admin+ Execução de código PHP arbitrário
    Corrigido na versão : 3.1.6
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.1.6.

    30. Tabela de Produtos WooCommerce

    Plugin: Tabela de Produtos WooCommerce
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 1.0.4
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.0.4.

    31. Gerente de descontos para produtos

    Plugin: Gerenciador de descontos para produtos
    Vulnerabilidade : Script entre sites refletido
    Corrigido na versão : 3.4.5
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.4.5.

    32. Construtor de Testemunhos

    Plugin: Construtor de Testemunhos
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : 1.6.0
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.6.0.

    33. Brizy

    Plugin: Brizy
    Vulnerabilidade : autorização incorreta para pós-modificação
    Corrigido na versão : 2.3.12
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.12.

    Plugin: Brizy
    Vulnerabilidade : script entre sites armazenado autenticado
    Corrigido na versão : 2.3.12
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.12.

    Plugin: Brizy
    Vulnerabilidade : upload de arquivo autenticado e passagem de caminho
    Corrigido na versão : 2.3.12
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.12.

    34. Categorias Coloridas

    Plugin: Categorias Coloridas
    Vulnerabilidade : Atualização de cores arbitrárias via CSRF
    Corrigido na versão : 2.0.15
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.15.

    35. Cache mais rápido do WP

    Plugin: WP Fastest Cache
    Vulnerabilidade : Assinante + SQL Injection
    Corrigido na versão : 0.9.5
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 0.9.5.

    Plugin: WP Fastest Cache
    Vulnerabilidade : CSRF para scripts entre sites armazenados
    Corrigido na versão : 0.9.5
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 0.9.5.

    36. Gerente de Negócios

    Plugin: Gerenciador de Negócios
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : nenhuma correção conhecida
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    37. Quadro de Emprego Vanila

    Plugin: Job Board Vanila
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    38. Lista de Trabalhos do WpGenius

    Plugin: Lista de Trabalhos do WpGenius
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    39. Gerente de Trabalho

    Plugin: Gerenciador de Tarefas
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    40. Portal de Emprego

    Plugin: Portal de Emprego
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    41. Pôster Cruzado do MyBB

    Plugin: MyBB Cross-Poster
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    42. Avisos de administração da KJM

    Plugin: Avisos de administração do KJM
    Vulnerabilidade : autorização incorreta para pós-modificação
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 13 de outubro de 2021. Desinstale e exclua.

    43. HAL

    Plug-in: HAL
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : 2.2
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.

    44. Caixa de biografia do autor

    Plugin: caixa de biografia do autor
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : 3.4.0
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.4.0.

    45. WordPress + Microsoft Office 365

    Plugin: WordPress + Microsoft Office 365
    Vulnerabilidade : script entre sites armazenado não autenticado
    Corrigido na versão : 15.4
    Pontuação de gravidade : Crítico

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 15.4.

    46. ​​Enquete YOP

    Plugin: YOP Poll
    Vulnerabilidade : Author+ Stored Cross-Site Scripting via Options Module
    Corrigido na versão : 6.3.1
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.3.1.

    Plugin: YOP Poll
    Vulnerabilidade : Author+ Stored Cross-Site Scripting via Preview Module
    Corrigido na versão : 6.3.1
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.3.1.

    47. Importador de trabalho de fato

    Plugin: Importador de Trabalhos do Indeed
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : alta

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 14 de outubro de 2021. Desinstale e exclua.

    48. MPL-Publisher – Publique seu livro e e-book por conta própria

    Plugin: MPL-Publisher – Publique seu livro e e-book por conta própria
    Vulnerabilidade : Admin+ Stored Cross-Site Scripting
    Corrigido na versão : nenhuma correção conhecida
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    49. Quadro de Trabalho WP

    Plugin: JobBoardWP
    Vulnerabilidade : autorização incorreta para pós-modificação
    Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 14 de outubro de 2021. Desinstale e exclua.

    Vulnerabilidades do tema WordPress

    1. Blog Moderno Tipo Quadrado

    Tema: Blog Moderno Squaretype
    Vulnerabilidade : Divulgação de postagens privadas/agendadas não autenticadas
    Corrigido na versão : 3.0.4
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.0.4.

    Como proteger seu site WordPress de plugins e temas vulneráveis

    Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.

    1. Verifique diariamente vulnerabilidades de sites conhecidos

    O plug-in do iThemes Security Pro verifica o motivo número 1 de os sites do WordPress serem invadidos: plug-ins e temas desatualizados com vulnerabilidades conhecidas.

    2. Atualização automática para versões seguras

    O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.

    3. Monitorar alterações de arquivos

    A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.

    Obtenha o iThemes Security Pro com monitoramento de sites 24 horas por dia, 7 dias por semana

    O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.

    • Verificador de site para vulnerabilidades de plugins e temas
    • Detecção de alteração de arquivo
    • Painel de segurança do site em tempo real
    • Registros de segurança do WordPress
    • Dispositivos confiáveis
    • reCAPTCHA
    • Proteção de força bruta
    • Autenticação de dois fatores
    • Links de login mágicos
    • Escalonamento de privilégios
    • Verificação e recusa de senhas comprometidas

    Obtenha o iThemes Security Pro