Informe de vulnerabilidad de WordPress: octubre de 2021, parte 2

Publicado: 2021-10-13

Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.

Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

Contenido del Informe del 13 de octubre de 2021
    ¿Quiere recibir este informe en su bandeja de entrada cada semana?
    Suscríbete al correo electrónico semanal

    Vulnerabilidades del núcleo de WordPress

    La última versión del núcleo de WordPress es 5.8.1 y se lanzó como una versión de seguridad y mantenimiento. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!

    Vulnerabilidades del complemento de WordPress

    En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.

    1. Fácil botón Comprar ahora de PayPal

    Complemento: botón Comprar ahora fácil de PayPal
    Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
    Parcheado en la versión : 1.7.3
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.3.

    2. Eventos simplificados

    Complemento: Eventos simplificados
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 2.2.24
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.2.24.

    3. Mensajes mejores de BP

    Complemento: mejores mensajes de BP
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Versión parcheada: 1.9.9.41
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.9.9.41.

    Complemento: mejores mensajes de BP
    Vulnerabilidad : Múltiple CSRF
    Versión parcheada: 1.9.9.41
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.9.9.41.

    4. Constructor de Themify

    Complemento : Constructor de Themify
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 5.3.2
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.3.2.

    5. Cabecera de vencimiento en el futuro lejano

    Complemento: Encabezado de vencimiento del futuro lejano
    Vulnerabilidad : actualización de la configuración del complemento a través de CSRF
    Parcheado en la versión : 1.5
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.5.

    6. Control de fuente de imagen

    Complemento: control de fuente de imagen
    Vulnerabilidad : Contributor+ Cambio de valor meta arbitrario de publicación
    Parcheado en la versión : 2.3.1
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.1.

    7. Logotipo deslizante y escaparate

    Complemento: Logo Slider y Showcase
    Vulnerabilidad : actualización de la configuración del complemento del editor
    Parcheado en la versión : 1.3.37
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.37.

    8. Pasarela de pago Cardinity para WooCommerce

    Complemento : Cardinity Payment Gateway para WooCommerce
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.0.7
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.7.

    9. Reproductor de audio MP3 para música, radio y podcast de Sonaar

    Complemento: reproductor de audio MP3 para música, radio y podcast de Sonaar
    Vulnerabilidad : Multiple Admin+ Cross Site Scripting
    Parcheado en la versión : 2.4.2
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.4.2.

    10. Donación de Paypal

    Complemento: Donación de Paypal
    Vulnerabilidad : CSRF a eliminación arbitraria de publicaciones
    Parcheado en la versión : 1.3.1
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.1.

    Complemento: Donación de Paypal
    Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
    Parcheado en la versión : 1.3.1
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.1.

    11. Próximamente, en modo de construcción y mantenimiento por Dazzler

    Complemento: próximamente, en construcción y modo de mantenimiento por Dazzler
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 1.6.7
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.7.

    12. Traducir WordPress – Traductor de idiomas de Google

    Complemento: Traducir WordPress – Traductor de idiomas de Google
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 6.0.12
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 6.0.12.

    13. Ayudante de producto de Booking.com

    Complemento: Booking.com Product Helper
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de agosto de 2021. Desinstale y elimine.

    14. Creador de banners de Booking.com

    Complemento: creador de banners de Booking.com
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de agosto de 2021. Desinstale y elimine.

    15. Monitor de descarga simple

    Complemento: Monitor de descarga simple
    Vulnerabilidad : restablecimiento de registro no autorizado
    Parcheado en la versión : 3.9.6
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.6.

    Complemento: Monitor de descarga simple
    Vulnerabilidad : Eliminación arbitraria de miniaturas
    Parcheado en la versión : 3.9.6
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.6.

    Complemento: Monitor de descarga simple
    Vulnerabilidad : acceso de registro no autenticado
    Parcheado en la versión : 3.9.6
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.6.

    Complemento: Monitor de descarga simple
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.9.5
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.5.

    Complemento: Monitor de descarga simple
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas en Contributor+ a través de una miniatura de archivo
    Parcheado en la versión : 3.9.5
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.5.

    16. Charla bidireccional

    Complemento: chat bidireccional
    Vulnerabilidad : Múltiple CSRF
    Parcheado en la versión : 3.1.5
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.1.5.

    Complemento: chat bidireccional
    Vulnerabilidad : Admin+ Inclusión de archivos locales
    Parcheado en la versión : 3.1.5
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.1.5.

    17. WP-Retiro

    Complemento: WP-Recall
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Versión parcheada: 16.24.48
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 16.24.48.

    18. Bolsa de trabajo JobSearch WP

    Complemento: JobSearch WP Job Board
    Vulnerabilidad : Suscriptor + Actualización de opciones arbitrarias de blog
    Parcheado en la versión : 1.8.2
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.8.2.

    Complemento: JobSearch WP Job Board
    Vulnerabilidad : actualización de la configuración del complemento no autenticado
    Parcheado en la versión : 1.8.2
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.8.2.

    Complemento: JobSearch WP Job Board
    Vulnerabilidad : Suscriptor+ Agregar/Actualizar programar llamadas
    Parcheado en la versión : 1.8.2
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.8.2.

    19. Carrito de compras de comercio electrónico TheCartPress

    Complemento : carrito de compras de comercio electrónico TheCartPress
    Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 5 de octubre de 2021. Desinstale y elimine.

    20. API de tienda móvil

    Complemento : API MStore
    Vulnerabilidad : carga de archivos PHP no autenticados
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : crítica

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 5 de octubre de 2021. Desinstale y elimine.

    21. Renombrador de archivos multimedia: cambio de nombre automático y manual

    Complemento: Renombrador de archivos multimedia: cambio de nombre automático y manual
    Vulnerabilidad : Título de medios/Nombre de archivo/Actualización de estado de bloqueo a través de CSRF
    Parcheado en la versión : 5.2.7
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.2.7.

    22. Lote de gatos

    Complemento: gato por lotes
    Vulnerabilidad : Suscriptor + Categorías arbitrarias Agregar/Establecer/Eliminar publicaciones
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : media

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 24 de septiembre de 2021. Desinstale y elimine.

    23. qTraducir X

    Complemento: qTranslate X
    Vulnerabilidad : secuencias de comandos almacenadas entre sitios múltiples Admin+
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 31 de agosto de 2021. Desinstale y elimine.

    24. Información sobre viajes por el mundo

    Complemento: Información de viajes mundiales
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 23 de septiembre de 2021. Desinstale y elimine.

    25. Encuesta WP Plus

    Complemento: WP Survey Plus
    Vulnerabilidad : suscriptor + llamadas AJAX
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 30 de septiembre de 2021. Desinstale y elimine.

    26. Página del mapa del sitio de WP

    Complemento: página de mapa del sitio de WP
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : sin solución conocida
    Puntuación de gravedad : baja

    Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

    27. WP Bannerizar 2.0.0

    Complemento : WP Bannerize 2.0.0
    Vulnerabilidad : inyección SQL autenticada
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 19 de julio de 2021. Desinstale y elimine.

    28. Genio WP Favicon

    Complemento : Genie WP Favicon
    Vulnerabilidad : Cambio de Favicon arbitrario a través de CSRF
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : media

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 27 de agosto de 2021. Desinstale y elimine.

    29. Cambio de nombre de Phoenix Media

    Complemento: Cambio de nombre de Phoenix Media
    Vulnerabilidad : cambio de nombre arbitrario del archivo multimedia del autor
    Parcheado en la versión : 3.4.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.4.4.

    30. Estadísticas en tiempo real del tráfico de visitantes

    Complemento: estadísticas de tráfico de visitantes en tiempo real
    Vulnerabilidad : suscriptor + inyección SQL
    Parcheado en la versión : 3.9
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.9.

    31. Botones para compartir AddToAny

    Complemento : botones para compartir AddToAny
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 1.7.48
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.48.

    32. Creador de formularios formidable

    Complemento: Formidable Form Builder
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 5.0.07
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 5.0.07.

    33. Seguridad a prueba de balas

    Complemento: seguridad a prueba de balas
    Vulnerabilidad : Divulgación de información confidencial
    Parcheado en la versión : 5.2
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.2.

    34. Exportación de todos los WP

    Complemento: WP All Export
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
    Parcheado en la versión : 1.3.1
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.1.

    35. Redirigir la página de error 404 a la página de inicio o página personalizada con registros

    Complemento: Redirigir la página de error 404 a la página de inicio o página personalizada con registros
    Vulnerabilidad : eliminación de registro a través de CSRF
    Parcheado en la versión : 1.7.9
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.9.

    36. Acceder al importador de demostración

    Complemento: Importador de demostración de acceso
    Vulnerabilidad : suscriptor + carga de archivo arbitrario
    Parcheado en la versión : 1.0.7
    Puntuación de gravedad : alta

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.0.7.

    37. Monitor de descarga

    Complemento: Descargar Monitor
    Vulnerabilidad : descarga no autenticada de registros
    Parcheado en la versión : 1.9.7
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.9.7.

    Complemento: Descargar Monitor
    Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
    Parcheado en la versión : 1.7.1
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.1.

    Complemento: Descargar Monitor
    Vulnerabilidad : listado de directorio autenticado
    Parcheado en la versión : 1.6.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.4.

    Complemento: Descargar Monitor
    Vulnerabilidad : múltiples secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.3.6.2
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.3.6.2.

    38. Ventanas emergentes ilimitadas

    Complemento : ventanas emergentes ilimitadas
    Vulnerabilidad : Author+ Inyección SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 22 de junio de 2021. Desinstale y elimine.

    39. Schreikasten

    Complemento : Schreikasten
    Vulnerabilidad : Autor+ Inyecciones SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 21 de junio de 2021. Desinstale y elimine.

    40. Publicar contenido XMLRPC

    Complemento: publicar contenido XMLRPC
    Vulnerabilidad : Autor+ Inyecciones SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 21 de junio de 2021. Desinstale y elimine.

    41. Formularios asombrosos

    Complemento: Formularios Wow
    Vulnerabilidad : Autor+ Inyecciones SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : alta

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de junio de 2021. Desinstale y elimine.

    42. Hipervínculo automático

    Complemento: G Auto-Hipervínculo
    Vulnerabilidad : Author+ Inyección SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : media

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de junio de 2021. Desinstale y elimine.

    43. Camaleón CSS

    Complemento: Camaleón CSS
    Vulnerabilidad : suscriptor + inyección SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : crítica

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de junio de 2021. Desinstale y elimine.

    44. Catálogo de arañas

    Complemento : SpiderCatalog
    Vulnerabilidad : Author+ Inyección SQL
    Parcheado en la versión : sin solución conocida: complemento cerrado
    Puntuación de gravedad : media

    Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 18 de junio de 2021. Desinstale y elimine.

    45. Junta de apoyo

    Complemento: Tablero de soporte
    Vulnerabilidad : Agent+ Stored Cross-Site Scripting
    Parcheado en la versión : 3.3.5
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.3.5.

    46. ​​Puerta de edad

    Complemento: puerta de edad
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas
    Parcheado en la versión : 2.16.4
    Puntuación de gravedad : media

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.16.4.

    47. Publicaciones relacionadas en línea

    Complemento: Publicaciones relacionadas en línea
    Vulnerabilidad : Admin+ Cross-Site Scripting
    Parcheado en la versión : 3.0.5
    Puntuación de gravedad : baja

    La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.5.

    Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

    Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.

    1. Escanear en busca de vulnerabilidades conocidas del sitio web

    El complemento iThemes Security Pro busca la principal razón por la que los sitios de WordPress son pirateados: complementos obsoletos y temas con vulnerabilidades conocidas.

    2. Actualización automática a versiones seguras

    La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.

    3. Supervisar los cambios de archivos

    La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.

    Obtenga iThemes Security Pro con monitoreo de sitios web 24/7

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.

    • Escáner del sitio para vulnerabilidades de complementos y temas
    • Detección de cambio de archivo
    • Tablero de seguridad del sitio web en tiempo real
    • Registros de seguridad de WordPress
    • Dispositivos de confianza
    • reCAPTCHA
    • Protección de fuerza bruta
    • Autenticación de dos factores
    • Enlaces de inicio de sesión mágicos
    • Escalada de privilegios
    • Comprobación y rechazo de contraseñas comprometidas

    Obtenga iThemes Security Pro