Resumen de vulnerabilidades de WordPress: enero de 2020, parte 1
Publicado: 2020-08-18Las nuevas vulnerabilidades de plugins y temas de WordPress se revelaron durante la primera quincena de enero, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos el plugin, el tema y las vulnerabilidades centrales recientes de WordPress y qué hacer si está ejecutando uno de los plugins o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en cuatro categorías diferentes:
- 1. núcleo de WordPress
- 2. Complementos de WordPress
- 3. Temas de WordPress
- 4. Infracciones de toda la Web
Nota: Puede pasar al Cuadro de resumen de vulnerabilidades para la primera parte de enero de 2020 que se enumera a continuación.
Vulnerabilidades del núcleo de WordPress
Vulnerabilidades de los complementos de WordPress
Hasta ahora, se han descubierto varias vulnerabilidades nuevas de plugins de WordPress este mes. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Caja de donantes
Las versiones 7.1 y 7.1.1 de Donorbox son vulnerables a un ataque de falsificación de solicitudes almacenadas entre sitios.
Lo que debes hacer
2. Maestro de cuestionarios y encuestas
Quiz and Survey Master versión 6.3.4 y anteriores es vulnerable a un ataque XSS reflejado autenticado.
Lo que debes hacer
3. 301 redireccionamientos
301 Redirects versión 2.4.0 y anteriores tiene varias vulnerabilidades, incluida la inyección y modificación de redireccionamiento arbitrario autenticado, XSS y CSRF.
Lo que debes hacer
4. Rencontre
Rencontre versión 3.2.2 e inferior incluye múltiples vulnerabilidades de falsificación de solicitudes entre sitios.
Lo que debes hacer
5. Imagen destacada de URL
En la imagen destacada de las versiones de URL 2.7.7 y siguientes faltan los controles de acceso en las rutas REST, lo que crea una vulnerabilidad de autenticación rota.
Lo que debes hacer
6. Solo miembros de bbPress
Las versiones 1.2.1 y anteriores de bbPress solo para miembros son vulnerables a un ataque de falsificación de solicitudes entre sitios en la página de configuración opcional de los complementos.
Lo que debes hacer
7. bbPress Iniciar sesión Registrarse Enlaces en páginas de temas del foro
bbPress Iniciar sesión Registrarse Vínculos en las páginas de temas del foro versiones 2.7.5 e inferiores incluyen una vulnerabilidad de falsificación de solicitudes entre sitios que puede provocar un ataque de secuencias de comandos entre sitios almacenados.
Lo que debes hacer
8. Cumplimiento de cookies del RGPD
Las versiones 4.0.2 y anteriores de GDPR Cookie Compliance carecen de una verificación de capacidades y un nonce de seguridad que permitirá a un usuario autenticado eliminar la configuración del complemento.
Lo que debes hacer
9. Galería de fotos
Las versiones 2.0.6 y anteriores de Photo Gallery son vulnerables a un ataque de desactivación arbitraria de complementos. El complemento no verifica las capacidades y permitirá a los suscriptores desactivar el complemento a través de la API AJAX de WordPress.
Lo que debes hacer
10. Próximamente mínimo y modo de mantenimiento
Minimal Próximamente y las versiones 2.10 y siguientes del modo de mantenimiento tienen múltiples vulnerabilidades, incluida una falla de permiso insegura que podría permitir a los usuarios autenticados habilitar, deshabilitar el complemento e importar / exportar la configuración. El complemento también incluye una vulnerabilidad de falsificación entre sitios a XSS almacenado y cambios de configuración.
Lo que debes hacer
11. Seguimiento de conversiones de WooCommerce
Las versiones de seguimiento de conversiones de WooCommerce 2.04 y anteriores son vulnerables a una solicitud de falsificación entre sitios que conduce a un ataque XSS almacenado.
Lo que debes hacer
12. Postie
Las versiones 1.9.40 de Postie y anteriores tienen una vulnerabilidad de Post Spoofing y Stored XSS que puede llevar a que un usuario no autenticado publique una nueva publicación. Esta es una vulnerabilidad de día cero y cualquiera puede encontrar fácilmente instrucciones sobre cómo explotar el complemento Postie.
Lo que debes hacer
13. Importar usuarios de CSV con Meta
Importar usuarios de CSV con meta versiones 1.15 tiene una vulnerabilidad de exportación de usuarios autenticados no autorizados. Una verificación de capacidades faltante permitiría a un usuario no autorizado exportar usuarios de WordPress.
Lo que debes hacer
14. Preguntas frecuentes definitivas
Las versiones 1.8.29 y anteriores de Ultimate FAQ tienen una vulnerabilidad XSS reflejada no autenticada. El código abreviado de preguntas frecuentes no desinfecta el parámetro Display_FAQ GET, lo que puede provocar un ataque de secuencias de comandos entre sitios reflejados en las páginas donde se muestra el código abreviado.
Lo que debes hacer
15. WP Simple Spreadsheet Fetcher para Google
WP Simple Spreadsheet Fetcher para Google, las versiones 0.3.6 y anteriores tienen una vulnerabilidad de solicitud de falsificación entre sitios que podría permitir que un atacante establezca una clave de API arbitraria.
Lo que debes hacer
16. Copia de seguridad y puesta en escena por WP Time Capsule
Copia de seguridad y puesta en escena por WP Time Capsule versiones 1.21.15
y a continuación tienen una vulnerabilidad de omisión de autenticación que permitiría a un atacante iniciar sesión como usuario administrador.
Lo que debes hacer
17. Cliente InfiniteWP
Las versiones 1.9.4.4 y anteriores de InfiniteWP Client tienen una vulnerabilidad de omisión de autenticación que permitiría a un atacante iniciar sesión como usuario administrador.
Lo que debes hacer
18. Última subasta
Ultimate Auction versión 4.0.5 y anteriores tienen múltiples vulnerabilidades de falsificación de solicitudes entre sitios y secuencias de comandos entre sitios.
Lo que debes hacer
19. WooCommerce - Exportador de tiendas
WooCommerce - Store Exporter versión 2.3.1 y anteriores es vulnerable a un ataque de inyección de CSV.
Lo que debes hacer
20. Increíble apoyo
Awesome Support versión 5.7.1 y anteriores son vulnerables a un ataque XSS almacenado.
Lo que debes hacer
21. Vídeos en el panel de administración
Los videos en Admin Dashboard versión 1.1.3 y anteriores son vulnerables a un ataque XSS almacenado autenticado.
Lo que debes hacer
22. Taller de reparación de computadoras
La versión 1.0 de Computer Repair Shop es vulnerable a un ataque XSS almacenado autenticado.
Lo que debes hacer
23. LearnDash
LearnDash versión 3.1.1 y anteriores es vulnerable a un ataque Reflected Cross-Site Scripting.
Lo que debes hacer
Temas de WordPress
1. ListingPro
Las versiones 2.5.3 y anteriores de ListingPro son vulnerables a un ataque XSS reflejado no autenticado.
Lo que debes hacer
2. Reserva de viajes
Las versiones 2.7.8.5 y anteriores de Travel Booking tienen una vulnerabilidad XSS reflejada y persistente.
Lo que debes hacer
3. ElegantThemes Divi Builder
ElegantThemes Divi, Divi Builder y Extra por debajo de las versiones 4.0.10 son vulnerables a un ataque de inyección de código autenticado.
Lo que debes hacer
4. EasyBook
Las versiones 1.2.1 y anteriores de EasyBook tienen múltiples vulnerabilidades que incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Lo que debes hacer
5. TownHub
Las versiones 1.0.5 y anteriores de TownHub tienen múltiples vulnerabilidades que incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Lo que debes hacer
6. CityBook
Las versiones 2.9.4 y anteriores de CityBook tienen varias vulnerabilidades, entre las que se incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Lo que debes hacer
7. Bienes inmuebles 7
Las versiones 2.3.3 y anteriores de Real Estate 7 tienen varias vulnerabilidades, entre las que se incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Lo que debes hacer
Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress
La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar
Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.
Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones de actualización de la gestión de versiones
- Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
- Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
- Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
- Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).
Fortalecimiento y alerta ante problemas críticos
- Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el factor doble a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos WP (para impedir que las personas editen el plugin o el código del tema) , Pingbacks XML-RPC y bloquean múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que desactivarlo por completo).
- Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
- Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.
¿Gestiona varios sitios de WP? Actualice complementos, temas y núcleos a la vez desde el panel de sincronización de iThemes
iThemes Sync es nuestro panel de control central para ayudarlo a administrar múltiples sitios de WordPress. Desde el panel de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, temas y el núcleo de WordPress con un solo clic . También puede recibir notificaciones diarias por correo electrónico cuando haya una nueva actualización disponible.
Prueba Sync GRATIS durante 30 díasMás información
Infracciones de la Web
Incluimos brechas de toda la web porque es esencial también estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Los ataques al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta para que los atacantes accedan a su sitio.
1. La NSA descubre una vulnerabilidad en Windows 10
La NSA encontró una peligrosa falla en el software de Microsoft, así que asegúrese de tener el último parche de seguridad de Windows. La vulnerabilidad está relacionada con Windows crypt32.dll, que maneja certificados y funciones de mensajería criptográfica. Si se explota, un pirata informático podría utilizar la vulnerabilidad para falsificar firmas digitales.
Resumen de vulnerabilidades de WordPress para enero de 2020, parte 1
Las versiones 1.2.1 y anteriores de bbPress solo para miembros son vulnerables a un ataque de falsificación de solicitudes entre sitios en la página de configuración opcional de los complementos.
bbPress Iniciar sesión Registrarse Vínculos en las páginas de temas del foro versiones 2.7.5 e inferiores incluyen una vulnerabilidad de falsificación de solicitudes entre sitios que puede provocar un ataque de secuencias de comandos entre sitios almacenados.
Las versiones 4.0.2 y anteriores de GDPR Cookie Compliance carecen de una verificación de capacidades y un nonce de seguridad que permitirá a un usuario autenticado eliminar la configuración del complemento.
Las versiones 2.0.6 y anteriores de Photo Gallery son vulnerables a un ataque de desactivación arbitraria de complementos
Minimal Próximamente y las versiones 2.10 y anteriores del modo de mantenimiento tienen múltiples vulnerabilidades
Las versiones de seguimiento de conversiones de WooCommerce 2.04 y anteriores son vulnerables a una solicitud de falsificación entre sitios que conduce a un ataque XSS almacenado.
Las versiones 1.9.40 de Postie y anteriores tienen una vulnerabilidad de Post Spoofing y Stored XSS que puede llevar a que un usuario no autenticado publique una nueva publicación. Esta es una vulnerabilidad de día cero y cualquiera puede encontrar fácilmente instrucciones sobre cómo explotar el complemento Postie.
Importar usuarios de CSV con meta versiones 1.15 tiene una vulnerabilidad de exportación de usuarios autenticados no autorizados. Una verificación de capacidades faltante permitiría a un usuario no autorizado exportar usuarios de WordPress.
Las versiones 1.8.29 y anteriores de Ultimate FAQ tienen una vulnerabilidad XSS reflejada no autenticada. El código abreviado de preguntas frecuentes no desinfecta el parámetro Display_FAQ GET, lo que puede provocar un ataque de secuencias de comandos entre sitios reflejados en las páginas donde se muestra el código abreviado.
WP Simple Spreadsheet Fetcher para Google, las versiones 0.3.6 y anteriores tienen una vulnerabilidad de solicitud de falsificación entre sitios que podría permitir que un atacante establezca una clave de API arbitraria.
Las versiones 1.21.15 y posteriores de Backup and Staging de WP Time Capsule tienen una vulnerabilidad de omisión de autenticación que permitiría a un atacante iniciar sesión como usuario administrador.
Las versiones 1.9.4.4 y anteriores de InfiniteWP Client tienen una vulnerabilidad de omisión de autenticación que permitiría a un atacante iniciar sesión como usuario administrador.
Ultimate Auction versión 4.0.5 y anteriores tienen múltiples vulnerabilidades de falsificación de solicitudes entre sitios y secuencias de comandos entre sitios.
WooCommerce - Store Exporter versión 2.3.1 y anteriores es vulnerable a un ataque de inyección de CSV.
Awesome Support versión 5.7.1 y anteriores son vulnerables a un ataque XSS almacenado.
Los videos en Admin Dashboard versión 1.1.3 y anteriores son vulnerables a un ataque XSS almacenado autenticado.
La versión 1.0 de Computer Repair Shop es vulnerable a un ataque XSS almacenado autenticado.
LearnDash versión 3.1.1 y anteriores es vulnerable a un ataque Reflected Cross-Site Scripting.
Las versiones 1.2.1 y anteriores de EasyBook tienen múltiples vulnerabilidades que incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Las versiones 1.0.5 y anteriores de TownHub tienen múltiples vulnerabilidades que incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Las versiones 2.9.4 y anteriores de CityBook tienen múltiples vulnerabilidades, que incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Las versiones 2.3.3 y anteriores de Real Estate 7 tienen varias vulnerabilidades, entre las que se incluyen un XSS reflejado no autenticado, un XSS persistente autenticado y una referencia de objeto directo inseguro.
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtener iThemes Security
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
