Noticias de vulnerabilidad de WordPress, noviembre de 2021

Publicado: 2020-11-06

Noticias de vulnerabilidad de WordPress de noviembre
Vulnerabilidad de WordPress significa Debilidad de WordPress. En esta publicación de noticias sobre vulnerabilidades de WordPress de noviembre, nos centraremos en los complementos vulnerables de WordPress y los problemas de seguridad de WordPress descubiertos en octubre de 2020 y noviembre de 2020.

La parte más importante y crucial de la seguridad es mantenerse actualizado con las vulnerabilidades de seguridad en CMS como WordPress y entre otros.

Esta es la razón por la que hemos analizado los complementos susceptibles y el último punto débil revelado para garantizar que su sitio web funcione sin problemas al no utilizar tales complementos y actualizaciones desprotegidos para WordPress.

Su sitio web estará a salvo de todos los problemas de seguridad y vulnerabilidades si está utilizando el firewall de aplicaciones web WebARX. Pero el mejor método alternativo para hacer que su sitio web sea seguro es eliminar o actualizar los complementos desprotegidos en sus sitios web.

Noticias de vulnerabilidad de WordPress, octubre de 2020

WordPress + Microsoft Office 365

WordPress + Microsoft Office 365

Para acceder a su sitio web de WordPress, los usuarios pueden iniciar sesión con su cuenta escolar o corporativa con WPO365|LOGIN. Contraseña y no se requiere nombre de usuario. Además, podrá enviar correos electrónicos con la ayuda de Microsoft Graph en lugar de usar SMTP desde su sitio web.

Vulnerabilidad: omisión de verificación de firma JWT
Resuelto en la versión: 11.7
Total de sitios web afectados: más de 1000

Este complemento no verifica las firmas JWT, permite verificaciones de autorización, omite autenticaciones y permite que los atacantes formen tokens.

Control deslizante de 10Web

Control deslizante de 10Web

Slider de 10Web es un método alternativo para agregar controles deslizantes receptivos, de carga rápida y compatibles con SEO en el encabezado de su tema, las publicaciones y páginas del sitio web, o en cualquier otra ubicación.

Este complemento es compatible con videos e imágenes y permite agregar ambos contenidos en las diapositivas. Puede agregarle diferentes efectos de transición muy fácilmente.

Vulnerabilidad: Inyección SQL autenticada múltiple
Resuelto en la versión: 1.2.36
Total de sitios web afectados: 50 000+

Las dos funcionalidades vulnerables de este complemento son save_slider_db y bulk_action, export_full. Estas dos funcionalidades permiten a los usuarios autorizados o administradores o medios como colaborador + 'opción de rol' suponer que el otro usuario está habilitado para ejecutar un ataque conocido como inyecciones de SQL.

La fecha de declaración de PoC fue el 13 de octubre de 2020 y proporciona actualizaciones a los usuarios de vez en cuando.

Cursos de WordPress

WP Cursos LMS

WP Courses es un complemento gratuito de WordPress que se puede usar para LMS para administrar y crear cursos en su sitio web con herramientas de arrastrar y soltar, una interfaz intuitiva, tutoriales en video y más. Este complemento tiene más de 900 instalaciones activas.

Este complemento se puede agregar con cualquier otra plantilla, ya que funcionará sin problemas. También viene con tantas opciones que lo ayudarán a combinar su visión y el diseño de su sitio web. Este complemento es fácil de navegar ya que no requiere ningún conocimiento técnico o de codificación.

Vulnerabilidad: conduce a la divulgación del contenido de los cursos debido a controles de acceso rotos
Resuelto en la versión: 2.0.29
Total de sitios web afectados: más de 20 000

Por la API REST de WordPress, el problema en los cursos de WP podría hacer que sus cursos estén disponibles para todos.

Sencillo:Presione

Prensa sencilla

Para su sitio web de WordPress, Simple: Press es un software de foro. Con algunas funciones adicionales, puede iniciar su foro fácilmente. Está integrado en el modelo de seguridad y el modelo de usuario de WordPress y puede elevarse a miles de usuarios.

A pesar de otros complementos del foro, las organizaciones crean y respaldan las características de este complemento. La opción está disponible para eliminar o desinstalar, integrada con el inicio de sesión y los registros de WordPress, integración con complementos de suscripciones de miembros y más.

Vulnerabilidad: conduce a RCE debido a un control de acceso roto
Resuelto en la versión: 6.6.1
Total de sitios web afectados: más de 600

El problema de control de acceso roto en el complemento Simple: Press se ha solucionado, lo que afectaba a la versión 6.6.0 y anteriores.

Complemento XCloner

Complemento XCloner

Este complemento lo ayudará a restaurar y hacer una copia de seguridad de su sitio web de WordPress.

Vulnerabilidad: falsificación de solicitud entre sitios
Resuelto en la versión: 4.2.13
Total de sitios web afectados: más de 30 000

Las copias de seguridad del sitio web se pueden enviar a Google Drive, SFTP, Amazon, Dropbox, Backblaze y algunas otras ubicaciones. De forma automática o manual, puede crear copias de seguridad con un programador que es una función integrada de XCloner.

XCloner proporciona diferentes funciones de seguridad, como XCloner creará temas, núcleo, complementos, copias de seguridad de archivos de idiomas justo antes de las actualizaciones automáticas, temas, complementos o archivos de idioma del núcleo de WordPress. Las personas que buscan un sitio web seguro y con privacidad deben elegir XCloner.

Arrastrar y soltar Carga de archivos múltiples: formulario de contacto 7

Arrastrar y soltar Carga de archivos múltiples

Este complemento es una extensión sencilla y fácil de usar, especialmente para el formulario de contacto 7. Este complemento permitirá a los usuarios agregar diferentes archivos con la ayuda de las funciones de arrastrar y soltar. También se puede agregar un archivo de navegación común del formulario web.

Las funciones de este complemento están restringidas a la cantidad de archivos cargados, restringe el tamaño del archivo para cada campo, responde a dispositivos móviles, es compatible con cualquier navegador, admite varios idiomas, barra de progreso genial, función de arrastrar y soltar, validación del tamaño del archivo, validación del tipo de archivo, y así.

Vulnerabilidad: ejecución de código remoto no verificado
Resuelto en la versión: 1.3.5.5
Total de sitios web afectados: más de 20 000

Esta herramienta hace uso de la lista negra de extensiones de archivo peligrosas que no le permite cargar. Sin embargo, las extensiones .phpt y .phar no estaban en la lista negra que no se puede utilizar para agregar código PHP arbitrario.

Se descubrieron más de 25 complementos de WordPress con vulnerabilidades a los ataques CSRF, algunos de ellos son

  • Membresía paga Pro
  • Creador de cupones
  • Constructores divertidos
  • Botones de opción para taxonomías
  • Línea de tiempo genial
  • Testimonios Fáciles
  • Dokan
  • Agregador RSS de Feedly
  • Reserva de hotel WP
  • WP Project Manager y muchos más.

Publicación relacionada:Los mejores temas de WordPress sin errores para que los proyectos elijan para su próximo sitio web

Noticias de vulnerabilidad de WordPress, noviembre de 2020

Soporte de cumplimiento de GDPR CCPA

Soporte de cumplimiento de GDPR CCPA

También se conoce como el complemento de cumplimiento Ninja GDPR para usuarios de WordPress.

Vulnerabilidad: inyección no oficial en objeto PHP
Resuelto en la versión: 2.4
Total de sitios web afectados: más de 1000

El complemento de soporte de cumplimiento de GDPR CCPA tiene más de 1000 instalaciones activas Ha resuelto una vulnerabilidad de deserialización insegura que afecta a la versión 2.1 y anteriores que podría llegar a la inyección de objetos PHP no oficiales. El 17 de noviembre de 2020. Se mostrará el PoC para actualizar a los usuarios con toda la información.

Comercio electrónico Welcart

Comercio electrónico Welcart

WelCart es de uso gratuito. Tiene más de 20.000 instalaciones activas y está disponible en 3 idiomas diferentes, es decir, inglés (EE. UU.), japonés y vietnamita. El 9 de octubre de 2020 se descubrió la vulnerabilidad en este complemento.

Vulnerabilidad: Inyección no oficial en objeto PHP
Resuelto en la versión: 1.9.36
Total de sitios web afectados: más de 20 000

Los usuarios de WordPress pueden usar el complemento Welcart para crear un sitio web de compras con un área de cuenta de cliente diferente. No utiliza la misma cookie que utiliza WordPress. Utiliza el suyo propio.

Esto le ayuda a realizar un seguimiento de las sesiones de los usuarios. Con este complemento, podrá vender cualquier tipo de productos, incluidos productos basados ​​​​en suscripción, productos digitales y productos físicos. No hay un límite especificado para la cantidad de fotos de artículos, productos y categorías.

Iconos sociales de AccessPress

Complemento para compartir en redes sociales de AccessPress

Podrá crear diferentes íconos sociales y agregar un enlace a sus cuentas de redes sociales válidas directamente desde el sitio web. Tiene más de 40 000 instalaciones activas y es compatible con la versión 4.5 de WordPress y superior.

Vulnerabilidad: inyección SQL autenticada
Resuelto en la versión: 1.8.1
Total de sitios web afectados: 40 000+

Su atributo de widget no ha sido desinfectado por este complemento, permite que las cuentas con permiso de publicación, por ejemplo, el autor, ejecuten inyecciones de SQL.

Muy fácilmente, una persona no técnica también puede vincularse a perfiles sociales en el sitio web. Puede crear y personalizar los iconos maravillosamente por su cuenta. Se proporcionan 12 conjuntos de varios diseños que se pueden usar para seleccionar iconos.

Las características principales de este complemento son una fácil integración, consejos sobre herramientas, más estilos, vista previa en vivo en tiempo real, diseños propios, interactivos y receptivos, y más.

WordPress

La versión 5.5.2 de WordPress se lanzó el 29 de octubre de 2020. Esta versión se introdujo para solucionar los problemas afectados por la versión 5.5 de WordPress, incluida la vulnerabilidad XSS reflejada. Además, ha solucionado algunos problemas de regresiones que se descubrieron en la versión 5.5.

Vulnerabilidad: XSS reflejado
Resuelto en la versión: 5.5.2
Total de sitios web afectados: N/A

En cada cuenta de usuario de WordPress y sitio web del usuario, este problema es susceptible. El atacante podría engañar a un usuario desprevenido para que haga clic en un enlace infectado o visite el sitio web que tiene una trampa explosiva. El nivel de victimización por este tema es medio porque necesita algún tipo de ingeniería social.

Búsqueda SW Ajax WooCommerce

Búsqueda de Ajax para WooCommerce

SW Ajax WooCommerce Search es un complemento de WordPress para WooCommerce que tiene una función de búsqueda Ajax.

Vulnerabilidad: XFS y XSS reflejados no oficiales
Resuelto en la versión: 1.2.8
Total de sitios web afectados: N/A

Conclusión:
Noticias de vulnerabilidad de WordPress de noviembre: varios sitios web de WordPress se infectan y piratean todos los días. Algunas cifras muestran que más de 30.000 sitios web se ven afectados diariamente con varios tipos de malware.

Cada sitio web abierto en Internet es un recurso disponible para todos y esta es la razón principal por la que la mayoría de los sitios web están dirigidos.

Es crucial saber el hecho de que tan pronto como usted vive su negocio en línea, se convierte en público. Por lo tanto, se vuelve fácilmente objetivo.

Para evitar agregar complementos vulnerables en su sitio web, es importante mantener sus complementos y sitios web actualizados. Puede habilitar las actualizaciones automáticas si es posible.

Si está utilizando los complementos mencionados anteriormente, ya es hora de actualizarlo con una nueva versión, de lo contrario, su sitio web se verá gravemente afectado.