Relatório de vulnerabilidade do WordPress: abril de 2021, parte 3

Publicados: 2021-04-22

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. Este post cobre plugins, temas e vulnerabilidades centrais recentes do WordPress e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress. Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.

No Relatório de Abril, Parte 3

    Vulnerabilidades do núcleo do WordPress

    O WordPress 5.7.1 foi lançado em 15 de abril de 2021. Esta versão de segurança e manutenção apresenta 26 correções de bugs, além de duas correções de segurança. Como este é um lançamento de segurança do núcleo do WordPress, é recomendável que você atualize seus sites imediatamente!

    1. WordPress 5.6 - 5.7

    Vulnerabilidade : autenticado XXE na biblioteca de mídia que afeta o PHP 8
    Remendado na versão : 5.7
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

    A vulnerabilidade foi corrigida, então você deve atualizar o núcleo do WordPress para 5.7.1+.

    2. WordPress 4.7-5.7

    Vulnerabilidade : exposição de páginas protegidas por senha autenticada
    Remendado na versão : 5.7
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar o núcleo do WordPress para 5.7.1+.

    Vulnerabilidades de plug-ins do WordPress

    1. Complementos Livemesh para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 6.8
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.8+.

    2. HT Mega - Complementos absolutos para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 1.5.7
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.7+.

    3. WooLentor - Complementos WooCommerce Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 1.8.6
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.8.6+.

    4. BuddyPress

    Vulnerabilidade : múltiplas vulnerabilidades de API REST autenticadas
    Remendado na versão : 7.3.0
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 7.3.0+.

    5. Suplementos PowerPack para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 2.3.2
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.2+.

    6. Efeitos de flutuação da imagem - Addon Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 1.3.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.4+.

    7. Rife Elementor Extensions & Templates

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 1.1.6
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.1.6+.

    8. Os Addons Plus para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 2.0.6
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6+.

    9. Complementos All-in-One para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 2.3.10
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.3.10.

    10. JetWidgets para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão :
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.8+.

    11. Extensão Sina para Elementor

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 3.3.12
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.3.12+.

    12. Complementos finais para Elementor

    Ultimate Addon Elementor Logo

    Vulnerabilidade : Stored Cross-Site Scripting (XSS)
    Remendado na versão : 1.30.0
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.30.0+.

    13. Calculadoras de Fitness

    Vulnerabilidade : falsificação de solicitação entre sites para scripts entre sites
    Remendado na versão : 1.9.6
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.9.6+.

    14. Gerenciador de Acesso de Direitos do Usuário

    Vulnerabilidade : controles de acesso inadequados
    Remendado na versão : 1.0.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.0.4+.

    15. Complementos inteligentes para Elementor

    Vulnerabilidade : XSS de script entre sites armazenados
    Remendado na versão : 2.1.0
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1.0+.

    16. Downloads digitais fáceis

    Logotipo do Easy Digital Downloads

    Vulnerabilidade : desconexão de faixa não autorizada via CSRF
    Remendado na versão : 2.10.3
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.10.3+.

    17. Edwiser Bridge

    Vulnerabilidade : CSRF Nonce Bypass
    Remendado na versão : 2.0.7
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.7+.

    18. Gerenciador de download do WordPress

    Logotipo do gerenciador de download do WordPress

    Vulnerabilidade : Duplicação de download não autorizado
    Remendado na versão : 3.1.18
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.1.18+.

    19. Ultimate Maps da Supsystic

    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.2.5
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.2.5+.

    20. Popup da Supsystic

    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.10.5
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.10.5+.

    21. Galeria de fotos da 10Web

    Galeria de fotos da 10Web Logo

    Vulnerabilidade : vários scripts entre sites refletidos
    Remendado na versão : 1.5.69
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.69+.

    22. Redirecionamento para o Formulário de Contato 7

    Vulnerabilidade : geração de Nonce arbitrária não autenticada
    Remendado na versão : 2.3.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N

    Vulnerabilidade : instalação de plug-in arbitrário autenticado
    Remendado na versão : 2.3.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

    Vulnerabilidade : injeção de objeto PHP autenticado
    Remendado na versão : 2.3.4
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

    Vulnerabilidade : exclusão pós-exclusão arbitrária autenticada
    Remendado na versão : 2.3.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L

    Vulnerabilidade : ações AJAX desprotegidas
    Remendado na versão : 2.3.4
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L

    As vulnerabilidades foram corrigidas, então você deve atualizar para a versão 2.3.4+.

    Vulnerabilidades de tema do WordPress

    Nenhuma nova vulnerabilidade de tema foi divulgada esta semana.

    Um plug-in de segurança do WordPress pode ajudar a proteger seu site

    O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

    Relatório de vulnerabilidade do WordPress