Informe de vulnerabilidad de WordPress: abril de 2021, parte 4

Publicado: 2021-04-28

Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. Este informe cubre los complementos, temas y vulnerabilidades centrales recientes de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress. Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . Las clasificaciones de gravedad se basan en el Common Vulnerability Scoring System.

En el informe de la cuarta parte de abril
    Obtenga el Informe de vulnerabilidad de WordPress de seguridad de iThemes en su bandeja de entrada
    Regístrese para el informe

    Vulnerabilidades del núcleo de WordPress

    WordPress 5.7.1 se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento presenta 26 correcciones de errores además de dos correcciones de seguridad. Debido a que esta es una versión de seguridad del núcleo de WordPress, se recomienda que actualice sus sitios de inmediato.

    Vulnerabilidades de los complementos de WordPress

    1. Acordeón

    Vulnerabilidad : secuencias de comandos entre sitios reflejadas y autenticadas
    Parcheado en la versión : 2.2.30
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.2.30+.

    2. RSS para Yandex Turbo

    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 1.30
    Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.30+.

    3. Complementos de Kaswara Modern VC

    Vulnerabilidad : Carga de archivos arbitraria no autenticada
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    4. Protección de copia de contenido de WP y sin clic derecho

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : 3.4
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : 3.5.1
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 3.5.1+.

    5. Anuncio publicitario de marketing condicional para WooCommerce

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : 1.6
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : 1.5.2
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.6+.

    6. Captchinoo, Google recaptcha para la página de inicio de sesión de administrador

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    7. Modo de mantenimiento de WP y sitio en construcción

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    8. Mapa del sitio del árbol

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    9. Protección de inicio de sesión: límite de intentos fallidos de inicio de sesión

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    10. Estadísticas en tiempo real del tráfico de visitantes

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : 2.13
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : 2.12
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.13+.

    11. Inicie sesión como usuario o cliente

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
    Parcheado en la versión : 2.1
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
    Parcheado en la versión : 1.8
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.1+.

    12. Redirigir 404 a los padres

    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 1.3.1
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.3.1+.

    13. Seleccione todas las categorías y taxonomías

    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 1.3.2
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.3.2+.

    14. Administrador de licencias de software

    Vulnerabilidad : CSRF a XSS almacenado
    Parcheado en la versión : 4.4.6
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 4.4.6+.

    15. Vendedor de autos - Guión de clasificados de autos

    Vulnerabilidad : inyección SQL no autenticada
    Parcheado en la versión : Sin solución conocida
    Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    16. Localizador de tiendas Plus

    Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
    Parcheado en la versión : Sin solución conocida
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    17. Complementos felices para Elementor Free & Pro

    Vulnerabilidad : secuencias de comandos entre sitios almacenadas
    Gratis parcheado en la versión : 2.24.0
    Pro parcheado en la versión : 1.17.0
    Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.24.0+ (Free) / 1.17.0+ (Pro).

    18. caché más rápido de WP

    Logotipo de caché más rápido de WP

    Vulnerabilidad : Eliminación de archivos arbitraria autenticada a través de Path Traversal
    Parcheado en la versión : 0.9.1.7
    Gravedad : Baja - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 0.9.1.7+.

    19. WPGraphQL

    Vulnerabilidad : denegación de servicio
    Parcheado en la versión : Sin solución conocida
    Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    20. WooCommerce

    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 5.2.0
    Gravedad : Media - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 5.2.0+.

    Vulnerabilidades del tema de WordPress

    Esta semana no se han revelado nuevas vulnerabilidades de temas.

    Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

    Obtén iThemes Security Pro