Informe de vulnerabilidad de WordPress: abril de 2021, parte 4
Publicado: 2021-04-28Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. Este informe cubre los complementos, temas y vulnerabilidades centrales recientes de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress. Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . Las clasificaciones de gravedad se basan en el Common Vulnerability Scoring System.
Vulnerabilidades del núcleo de WordPress
WordPress 5.7.1 se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento presenta 26 correcciones de errores además de dos correcciones de seguridad. Debido a que esta es una versión de seguridad del núcleo de WordPress, se recomienda que actualice sus sitios de inmediato.
Vulnerabilidades de los complementos de WordPress
1. Acordeón

Vulnerabilidad : secuencias de comandos entre sitios reflejadas y autenticadas
Parcheado en la versión : 2.2.30
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. RSS para Yandex Turbo

Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 1.30
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
3. Complementos de Kaswara Modern VC
Vulnerabilidad : Carga de archivos arbitraria no autenticada
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
4. Protección de copia de contenido de WP y sin clic derecho

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 3.4
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 3.5.1
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
5. Anuncio publicitario de marketing condicional para WooCommerce

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 1.6
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 1.5.2
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
6. Captchinoo, Google recaptcha para la página de inicio de sesión de administrador
Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
7. Modo de mantenimiento de WP y sitio en construcción
Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
8. Mapa del sitio del árbol
Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
9. Protección de inicio de sesión: límite de intentos fallidos de inicio de sesión
Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
10. Estadísticas en tiempo real del tráfico de visitantes

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 2.13
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 2.12
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
11. Inicie sesión como usuario o cliente

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 2.1
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 1.8
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
12. Redirigir 404 a los padres

Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.1
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
13. Seleccione todas las categorías y taxonomías
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.2
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. Administrador de licencias de software

Vulnerabilidad : CSRF a XSS almacenado
Parcheado en la versión : 4.4.6
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
15. Vendedor de autos - Guión de clasificados de autos
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L
16. Localizador de tiendas Plus
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : Sin solución conocida
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
17. Complementos felices para Elementor Free & Pro

Vulnerabilidad : secuencias de comandos entre sitios almacenadas
Gratis parcheado en la versión : 2.24.0
Pro parcheado en la versión : 1.17.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
18. caché más rápido de WP

Vulnerabilidad : Eliminación de archivos arbitraria autenticada a través de Path Traversal
Parcheado en la versión : 0.9.1.7
Gravedad : Baja - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L
19. WPGraphQL
Vulnerabilidad : denegación de servicio
Parcheado en la versión : Sin solución conocida
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
20. WooCommerce

Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 5.2.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N
Vulnerabilidades del tema de WordPress
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtén iThemes Security Pro
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
