Relatório de vulnerabilidade do WordPress: abril de 2021, parte 3
Publicados: 2021-04-22Plug-ins e temas vulneráveis são o principal motivo pelo qual os sites do WordPress são hackeados. Este post cobre plugins, temas e vulnerabilidades centrais recentes do WordPress e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.
O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress. Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.
Vulnerabilidades do núcleo do WordPress
O WordPress 5.7.1 foi lançado em 15 de abril de 2021. Esta versão de segurança e manutenção apresenta 26 correções de bugs, além de duas correções de segurança. Como este é um lançamento de segurança do núcleo do WordPress, é recomendável que você atualize seus sites imediatamente!
1. WordPress 5.6 - 5.7
Vulnerabilidade : autenticado XXE na biblioteca de mídia que afeta o PHP 8
Remendado na versão : 5.7
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
2. WordPress 4.7-5.7
Vulnerabilidade : exposição de páginas protegidas por senha autenticada
Remendado na versão : 5.7
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N
Vulnerabilidades de plug-ins do WordPress
1. Complementos Livemesh para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 6.8
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
2. HT Mega - Complementos absolutos para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 1.5.7
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
3. WooLentor - Complementos WooCommerce Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 1.8.6
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
4. BuddyPress
Vulnerabilidade : múltiplas vulnerabilidades de API REST autenticadas
Remendado na versão : 7.3.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
5. Suplementos PowerPack para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 2.3.2
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
6. Efeitos de flutuação da imagem - Addon Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 1.3.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
7. Rife Elementor Extensions & Templates
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 1.1.6
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
8. Os Addons Plus para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 2.0.6
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
9. Complementos All-in-One para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 2.3.10
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
10. JetWidgets para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão :
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
11. Extensão Sina para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 3.3.12
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
12. Complementos finais para Elementor
Vulnerabilidade : Stored Cross-Site Scripting (XSS)
Remendado na versão : 1.30.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
13. Calculadoras de Fitness
Vulnerabilidade : falsificação de solicitação entre sites para scripts entre sites
Remendado na versão : 1.9.6
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. Gerenciador de Acesso de Direitos do Usuário
Vulnerabilidade : controles de acesso inadequados
Remendado na versão : 1.0.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
15. Complementos inteligentes para Elementor
Vulnerabilidade : XSS de script entre sites armazenados
Remendado na versão : 2.1.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
16. Downloads digitais fáceis
Vulnerabilidade : desconexão de faixa não autorizada via CSRF
Remendado na versão : 2.10.3
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L
17. Edwiser Bridge
Vulnerabilidade : CSRF Nonce Bypass
Remendado na versão : 2.0.7
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N
18. Gerenciador de download do WordPress
Vulnerabilidade : Duplicação de download não autorizado
Remendado na versão : 3.1.18
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N
19. Ultimate Maps da Supsystic
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.2.5
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
20. Popup da Supsystic
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.10.5
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
21. Galeria de fotos da 10Web
Vulnerabilidade : vários scripts entre sites refletidos
Remendado na versão : 1.5.69
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
22. Redirecionamento para o Formulário de Contato 7
Vulnerabilidade : geração de Nonce arbitrária não autenticada
Remendado na versão : 2.3.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N
Vulnerabilidade : instalação de plug-in arbitrário autenticado
Remendado na versão : 2.3.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
Vulnerabilidade : injeção de objeto PHP autenticado
Remendado na versão : 2.3.4
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
Vulnerabilidade : exclusão pós-exclusão arbitrária autenticada
Remendado na versão : 2.3.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L
Vulnerabilidade : ações AJAX desprotegidas
Remendado na versão : 2.3.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L
Vulnerabilidades de tema do WordPress
Um plug-in de segurança do WordPress pode ajudar a proteger seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
