Relatório de vulnerabilidade do WordPress: outubro de 2021, parte 4
Publicados: 2021-10-27Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.1 foi lançada como uma versão de segurança e manutenção. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Arquivos Compartilhados
Plugin: Arquivos Compartilhados
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.6.61
Pontuação de gravidade : baixa
2. Redirecionador de QR
Plugin: Redirecionador QR
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 1.6.1
Pontuação de gravidade : média
Plugin: Redirecionador QR
Vulnerabilidade : Atualização de status de resposta de redirecionamento QR arbitrário do assinante+
Corrigido na versão : 1.6
Pontuação de gravidade : média
3. Rolagem suave da roda do mouse
Plugin: MouseWheel Smooth Scroll
Vulnerabilidade : Atualização de configuração do plug-in via CSRF
Corrigido na versão : 5.7
Pontuação de gravidade : média
4. Inserir páginas
Plugin: Inserir Páginas
Vulnerabilidade : Contribuidor+ Acesso arbitrário a postagens/páginas
Corrigido na versão : 3.7.0
Pontuação de gravidade : média
Plugin: Inserir Páginas
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 3.7.0
Pontuação de gravidade : média
5. Redirecionamento de SEO
Plugin: Redirecionamento de SEO
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 8.2
Pontuação de gravidade : alta
6. Doação Paypal
Plugin: Doação Paypal
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.3.2
Pontuação de gravidade : baixa
7. IMPress para IDX Broker
Plugin: IMPress para IDX Broker
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.0.6
Pontuação de gravidade : alta
8. Login JWT simples
Plugin: Login JWT Simples
Vulnerabilidade : atualização de configurações arbitrárias para aquisição do site via CSRF
Corrigido na versão : 3.2.1
Pontuação de gravidade : alta
9. Meus Ingressos
Plugin: Meus Ingressos
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 1.8.31
Pontuação de gravidade : alta
10. Faturamento do cliente por faturas do Sprout
Plugin: Faturamento do cliente por faturas do Sprout
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 19.9.7
Pontuação de gravidade : baixa
11. Registro de e-mail
Plugin: Log de e-mail
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 2.4.7
Pontuação de gravidade : média
12. Impulsionador de pontuação de desempenho WP
Plugin WP Performance Score Booster
Vulnerabilidade : alteração de configurações via CSRF
Corrigido na versão : 2.1
Pontuação de gravidade : média
13. Integração do Active Directory / Integração LDAP
Plugin: Integração do Active Directory / Integração LDAP
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 3.6.95
Pontuação de gravidade : alta
14. Mesa Ligada
Plugin: TableOn
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.0.1
Pontuação de gravidade : média
15. Controle deslizante de imagem responsivo, galeria de fotos e carrossel
Plugin: controle deslizante de imagem responsivo, galeria de fotos e carrossel
Vulnerabilidade : Slider Clone/Save/Delete via CSRF
Corrigido na versão : 1.3.2
Pontuação de gravidade : média
Plugin: controle deslizante de imagem responsivo, galeria de fotos e carrossel
Vulnerabilidade : Assinante + Acesso Arbitrário à Postagem
Corrigido na versão : 1.3.6
Pontuação de gravidade : média
16. Página do mapa do site WP
Plugin: WP Sitemap Page
Vulnerabilidade : Admin+ Stored Cross Site Scripting
Corrigido na versão : 1.7.0
Pontuação de gravidade : baixa
17. Transmissão
Plug-in: fluxo
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 3.8.2
Pontuação de gravidade : média
18. Útil
Plug-in: útil
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 4.4.59
Pontuação de gravidade : baixa
19. AprendaPressione
Plugin: LearnPress
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 4.1.3.2
Pontuação de gravidade : baixa
20. Preparação de conteúdo
Plugin: preparação de conteúdo
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
21. Paywall com vazamento
Plugin: Leaky Paywall
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : baixa
22. Tutor LMS
Plugin: Tutor LMS
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.9.11
Pontuação de gravidade : média
23. Vitrine de Logo com Slider Slick
Plugin: Logo Showcase com Slick Slider
Vulnerabilidade : Author+ Stored Cross Site Scripting
Corrigido na versão : 1.2.4
Pontuação de gravidade : média
24. Construtor de formulários formidável
Plugin: Formidable Form Builder
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : 4.09.05
Pontuação de gravidade : baixa
25. Baixe o plug-in
Plugin: Baixar Plugin
Vulnerabilidade : Assinante+ Ativação Arbitrária do Plugin
Corrigido na versão : 1.6.1
Pontuação de gravidade : média
26. Imagens para WebP
Plugin: Imagens para WebP
Vulnerabilidade : Falsificação de Solicitação de Vários Sites (CSRF)
Corrigido na versão : 1.9
Pontuação de gravidade : média
Plugin: Imagens para WebP
Vulnerabilidade : inclusão de arquivo local autenticado
Corrigido na versão : 1.9
Pontuação de gravidade : baixa
27. API da MStore
Plugin: API MStore
Vulnerabilidade : upload de arquivo PHP não autenticado
Corrigido na versão : 3.4.5
Pontuação de gravidade : Crítico
28. Downloads digitais fáceis
Plugin: Downloads digitais fáceis
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.11.2.1
Pontuação de gravidade : alta
29. Gerenciador de Acesso Avançado
Plugin: Gerenciador de Acesso Avançado
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 6.8.0
Pontuação de gravidade : baixa
30. Enquete YOP
Plugin: YOP Poll
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.1.2
Pontuação de gravidade : média
31. Exportação de Anexo WP
Plugin: Exportação de Anexo WP
Vulnerabilidade : download de postagens não autenticadas
Corrigido na versão : 0.2.4
Pontuação de gravidade : alta
32. Controle deslizante de texto de conteúdo na postagem
Plugin: controle deslizante de texto de conteúdo na postagem
Vulnerabilidade : Scripts entre sites armazenados autenticados (XSS)
Corrigido na versão : 6.9
Pontuação de gravidade : média
33. Icegrama
Plugin: Icegram
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 2.0.3
Pontuação de gravidade : baixa
34. Melhores Links
Plugin: BetterLinks
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.2.6
Pontuação de gravidade : baixa
35. AprendaDash
Plugin: LearnDash
Vulnerabilidade : upload de arquivo arbitrário não autenticado
Corrigido na versão : 2.5.4
Pontuação de gravidade : Crítico
36. ImageBoss
Plugin: ImageBoss
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 3.0.6
Pontuação de gravidade : baixa
37. Formador
Plugin: Forminador
Vulnerabilidade : Admin + Scripts entre sites armazenados
Corrigido na versão : 1.2.4
Pontuação de gravidade : baixa
38. Editora MPL
Plugin: MPL-Publisher
Vulnerabilidade : Admin+ Stored Cross Site Scripting
Corrigido na versão : 1.30.4
Pontuação de gravidade : baixa
39. Elementor
Plugin: Elementor
Vulnerabilidade : Scripts entre sites DOM
Corrigido na versão : 3.1.4
Pontuação de gravidade : média
40. Compartilhamento social atrevido
Plugin: Compartilhamento Social Sassy
Vulnerabilidade : Faltam controles de acesso para injeção de objetos PHP
Corrigido na versão : 3.3.24
Pontuação de gravidade : média
41. Registro de tortas
Plugin: Pie Register
Vulnerabilidade : Redirecionamento Aberto
Corrigido na versão : 3.7.2.4
Pontuação de gravidade : média
42. Formulários Avançados
Plugin: Formulários Avançados
Vulnerabilidade : Assinante + Atualização Arbitrária do Endereço de Email do Usuário via IDOR
Corrigido na versão : 1.6.9
Pontuação de gravidade : alta
Plugin: Advanced Forms Pro
Vulnerabilidade : Assinante + Atualização Arbitrária do Endereço de Email do Usuário via IDOR
Corrigido na versão : 1.6.9
Pontuação de gravidade : alta
43. Importação de demonstração de temas de captura
Plugin: Importação de demonstração de temas de captura
Vulnerabilidade : Admin+ Upload Arbitrário de Arquivos
Corrigido na versão : 1.8
Pontuação de gravidade : Crítico
44. Quadro de Trabalho Simples
Plugin: Simple Job Board
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 2.9.5
Pontuação de gravidade : baixa
45. Pesquisa de Marfim
Plugin: Pesquisa de Marfim
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 4.7
Pontuação de gravidade : alta
46. Portão da Idade
Plugin: Age Gate
Vulnerabilidade : script entre sites armazenado autenticado
Corrigido na versão : 2.16.4
Pontuação de gravidade : Crítico
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Verificar vulnerabilidades de sites conhecidos
O plug-in do iThemes Security Pro verifica o motivo número 1 de os sites do WordPress serem invadidos: plug-ins e temas desatualizados com vulnerabilidades conhecidas.
2. Atualização automática para versões seguras
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Monitorar alterações de arquivos
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.