Informe de vulnerabilidad de WordPress: abril de 2021, parte 3
Publicado: 2021-04-22Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. Esta publicación cubre los complementos, temas y vulnerabilidades centrales recientes de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress. Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . Las clasificaciones de gravedad se basan en el Common Vulnerability Scoring System.
Vulnerabilidades del núcleo de WordPress
WordPress 5.7.1 se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento presenta 26 correcciones de errores además de dos correcciones de seguridad. Debido a que esta es una versión de seguridad del núcleo de WordPress, se recomienda que actualice sus sitios de inmediato.
1. WordPress 5.6 - 5.7
Vulnerabilidad : XXE autenticado dentro de la biblioteca multimedia que afecta a PHP 8
Parcheado en la versión : 5.7
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
2. WordPress 4.7-5.7
Vulnerabilidad : exposición de páginas protegidas con contraseña autenticada
Parcheado en la versión : 5.7
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N
Vulnerabilidades de los complementos de WordPress
1. Complementos de Livemesh para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 6.8
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
2. HT Mega - Complementos absolutos para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 1.5.7
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
3. WooLentor - Complementos de Elementor de WooCommerce
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 1.8.6
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
4. BuddyPress
Vulnerabilidad : múltiples vulnerabilidades de API REST autenticadas
Parcheado en la versión : 7.3.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
5. Complementos de PowerPack para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 2.3.2
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
6. Efectos de desplazamiento de imagen - Complemento Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 1.3.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
7. Extensiones y plantillas de Rife Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 1.1.6
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
8. Los complementos Plus para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 2.0.6
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
9. Complementos todo en uno para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 2.3.10
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
10. JetWidgets para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en versión :
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
11. Extensión Sina para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 3.3.12
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
12. Complementos definitivos para Elementor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios (XSS)
Parcheado en la versión : 1.30.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
13. Calculadoras de fitness
Vulnerabilidad : falsificación de solicitudes entre sitios a secuencias de comandos entre sitios
Parcheado en la versión : 1.9.6
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. Administrador de acceso de derechos de usuario
Vulnerabilidad : controles de acceso inadecuados
Parcheado en la versión : 1.0.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
15. Complementos inteligentes para Elementor
Vulnerabilidad : XSS de secuencias de comandos entre sitios almacenados
Parcheado en la versión : 2.1.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
16. Descargas digitales fáciles
Vulnerabilidad : desconexión de banda no autorizada a través de CSRF
Parcheado en la versión : 2.10.3
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L
17. Puente Edwiser
Vulnerabilidad : derivación CSRF Nonce
Parcheado en la versión : 2.0.7
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N
18. Administrador de descargas de WordPress
Vulnerabilidad : Duplicación de descargas no autorizadas
Parcheado en la versión : 3.1.18
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N
19. Ultimate Maps de Supsystic
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.2.5
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
20. Ventana emergente de Supsystic
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.10.5
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
21. Galería de fotos de 10Web
Vulnerabilidad : múltiples secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.5.69
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
22. Redirección para el formulario de contacto 7
Vulnerabilidad : Generación Nonce arbitraria no autenticada
Parcheado en la versión : 2.3.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N
Vulnerabilidad : instalación de complementos arbitrarios autenticados
Parcheado en la versión : 2.3.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
Vulnerabilidad : inyección de objetos PHP autenticados
Parcheado en la versión : 2.3.4
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
Vulnerabilidad : eliminación de publicaciones arbitrarias autenticadas
Parcheado en la versión : 2.3.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L
Vulnerabilidad : acciones AJAX desprotegidas
Parcheado en la versión : 2.3.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L
Vulnerabilidades del tema de WordPress
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
