Informe de vulnerabilidad de WordPress: marzo de 2021, parte 4
Publicado: 2021-03-30Se revelaron nuevas vulnerabilidades de plugins y temas de WordPress durante la última semana de marzo. Esta publicación cubre el complemento, el tema y las vulnerabilidades principales de WordPress recientes y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . Las clasificaciones de gravedad se basan en el Common Vulnerability Scoring System.
Vulnerabilidades del núcleo de WordPress
Vulnerabilidades de los complementos de WordPress
1. GiveWP
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.10.0
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. Mapplic y Mapplic Lite
Vulnerabilidad : SSRF a secuencias de comandos almacenadas entre sitios
Parcheado en la versión : Mapplic Lite 1.0.1 y Mapplic 6.2.1
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
3. MapifyLife
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : Sin solución conocida
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
4. Prueba de páginas de Thrive AB
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 1.4.13.3
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
5. Thrive Comentarios
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 1.4.15.3
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
6. Optimizador de títulos de Thrive
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 1.3.7.3
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
7. Prosperar clientes potenciales
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.3.9.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
8. Thrive Ultimatum
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.3.9.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
9. Thrive Quiz Builder
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.3.9.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
10. Thrive Apprentice
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.3.9.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
11. Thrive Visual Editor
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.6.7.4
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
12. Tablero de Thrive
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.3.9.3
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
13. Thrive Ovation
Vulnerabilidad : actualización de opciones no autenticadas
Parcheado en la versión : 2.4.5
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
14. Registrador JH 404
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
15. Directorio de empresas
Vulnerabilidad : secuencias de comandos entre sitios reflejadas no autenticadas
Parcheado en la versión : Sin solución conocida
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N
16. Facebook para WordPress
Vulnerabilidad : Inyección de objetos PHP con cadena POP
Parcheado en la versión : 3.0.0
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
Vulnerabilidad : CSRF a XSS almacenado y eliminación de configuraciones
Parcheado en la versión : 3.0.4
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
17. Desplazador de noticias vertical
Vulnerabilidad : secuencias de comandos entre sitios reflejadas y autenticadas
Parcheado en la versión : 1.17
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
18. Maestro de cuestionarios y encuestas
Vulnerabilidad : inyección SQL autenticada a través de shortcode
Parcheado en la versión : 7.1.12
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
Vulnerabilidad : inyección de SQL autenticado a través de Rest API
Parcheado en la versión : 7.1.14
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
19. WP-Curricul Vitea Free
Vulnerabilidad : Carga de archivos arbitrarios no autenticados en RCE
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
20. Formulario de carga N5
Vulnerabilidad : Carga de archivos arbitrarios no autenticados en RCE
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
21. Constructor de formularios fácil
Vulnerabilidad : Carga de archivos arbitraria autenticada
Parcheado en la versión : Sin solución conocida
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
22. Patreon WordPress
Vulnerabilidad : divulgación de archivos locales no autenticados
Parcheado en la versión : 1.7.0
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
Vulnerabilidad : CSRF para sobrescribir / crear meta de usuario
Parcheado en la versión : 1.7.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
Vulnerabilidad : CSRF para desconectar sitios de Patreon
Parcheado en la versión : 1.7.0
Gravedad : Media - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
Vulnerabilidad : CSRF para desconectar sitios de Patreon
Parcheado en la versión : 1.7.0
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Vulnerabilidad : XSS reflejado en el formulario de inicio de sesión
Parcheado en la versión : 1.7.2
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Vulnerabilidad : XSS reflejado en patreon_save_attachment_patreon_level acción AJAX
Parcheado en la versión : 1.7.2
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
23. AccessAlly
Vulnerabilidad : $ _SERVER Superglobal Leakage
Parcheado en la versión : 3.5.7
Gravedad : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
Vulnerabilidades del tema de WordPress
1. All Thrive Themes Temas heredados
Temas afectados: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive y Storied
Vulnerabilidad : carga de archivos arbitrarios no autenticados y eliminación de opciones
Parcheado en la versión : 2.0.0
Gravedad : Crítica - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtén iThemes Security Pro
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
