Informe de vulnerabilidad de WordPress: abril de 2021, parte 4

Publicado: 2021-04-28

Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. Este informe cubre los complementos, temas y vulnerabilidades centrales recientes de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress. Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . Las clasificaciones de gravedad se basan en el Common Vulnerability Scoring System.

En el informe de la cuarta parte de abril

Obtenga el Informe de vulnerabilidad de WordPress de seguridad de iThemes en su bandeja de entrada

Regístrese para el informe

Vulnerabilidades del núcleo de WordPress

WordPress 5.7.1 se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento presenta 26 correcciones de errores además de dos correcciones de seguridad. Debido a que esta es una versión de seguridad del núcleo de WordPress, se recomienda que actualice sus sitios de inmediato.

Vulnerabilidades de los complementos de WordPress

1. Acordeón

Vulnerabilidad : secuencias de comandos entre sitios reflejadas y autenticadas
Parcheado en la versión : 2.2.30
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.2.30+.

2. RSS para Yandex Turbo

Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 1.30
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.30+.

3. Complementos de Kaswara Modern VC

Vulnerabilidad : Carga de archivos arbitraria no autenticada
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

4. Protección de copia de contenido de WP y sin clic derecho

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 3.4
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 3.5.1
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 3.5.1+.

5. Anuncio publicitario de marketing condicional para WooCommerce

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 1.6
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 1.5.2
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.6+.

6. Captchinoo, Google recaptcha para la página de inicio de sesión de administrador

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

7. Modo de mantenimiento de WP y sitio en construcción

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

8. Mapa del sitio del árbol

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

9. Protección de inicio de sesión: límite de intentos fallidos de inicio de sesión

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

10. Estadísticas en tiempo real del tráfico de visitantes

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 2.13
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 2.12
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.13+.

11. Inicie sesión como usuario o cliente

Vulnerabilidad : instalación / activación arbitraria de complementos a través de CSRF
Parcheado en la versión : 2.1
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidad : instalación / activación arbitraria de complementos a través de un usuario con privilegios bajos
Parcheado en la versión : 1.8
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.1+.

12. Redirigir 404 a los padres

Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.1
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.3.1+.

13. Seleccione todas las categorías y taxonomías

Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.2
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.3.2+.

14. Administrador de licencias de software

Vulnerabilidad : CSRF a XSS almacenado
Parcheado en la versión : 4.4.6
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 4.4.6+.

15. Vendedor de autos - Guión de clasificados de autos

Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

16. Localizador de tiendas Plus

Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : Sin solución conocida
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

17. Complementos felices para Elementor Free & Pro

Vulnerabilidad : secuencias de comandos entre sitios almacenadas
Gratis parcheado en la versión : 2.24.0
Pro parcheado en la versión : 1.17.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 2.24.0+ (Free) / 1.17.0+ (Pro).

18. caché más rápido de WP

Vulnerabilidad : Eliminación de archivos arbitraria autenticada a través de Path Traversal
Parcheado en la versión : 0.9.1.7
Gravedad : Baja - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 0.9.1.7+.

19. WPGraphQL

Vulnerabilidad : denegación de servicio
Parcheado en la versión : Sin solución conocida
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

20. WooCommerce

Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 5.2.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 5.2.0+.

Vulnerabilidades del tema de WordPress

Esta semana no se han revelado nuevas vulnerabilidades de temas.

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

Obtén iThemes Security Pro

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.