Relatório de vulnerabilidade do WordPress: abril de 2021, parte 4

Publicados: 2021-04-28

Plug-ins e temas vulneráveis são o principal motivo pelo qual os sites do WordPress são hackeados. Este relatório cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.

O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress. Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.

No Relatório de Abril, Parte 4

Obtenha o relatório de vulnerabilidade do iThemes Security WordPress entregue na sua caixa de entrada

Inscreva-se para o relatório

Vulnerabilidades do núcleo do WordPress

O WordPress 5.7.1 foi lançado em 15 de abril de 2021. Esta versão de segurança e manutenção apresenta 26 correções de bugs, além de duas correções de segurança. Como este é um lançamento de segurança do núcleo do WordPress, é recomendável que você atualize seus sites imediatamente!

Vulnerabilidades de plug-ins do WordPress

1. Acordeão

Vulnerabilidade : Scripts Cross-Site Refletidos Autenticados
Remendado na versão : 2.2.30
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.30+.

2. RSS para Yandex Turbo

Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 1.30
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.30+.

3. Complementos do Kaswara Modern VC

Vulnerabilidade : upload de arquivo arbitrário não autenticado
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

4. WP Content Copy Protection & No Right Click

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 3.4
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 3.5.1
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.5.1+.

5. Mailer de marketing condicional para WooCommerce

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 1.6
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 1.5.2
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.6+.

6. Captchinoo, recaptcha do Google para a página de login do administrador

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

7. Modo de manutenção WP e local em construção

Vulnerabilidade : Instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

8. Mapa do site da árvore

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

9. Proteção de login - Limite de tentativas de login com falha

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

10. Estatísticas em tempo real do tráfego de visitantes

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 2.13
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 2.12
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.13+.

11. Faça login como usuário ou cliente

Vulnerabilidade : Instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 2.1
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 1.8
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1+.

12. Redirecionar 404 para o pai

Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.3.1
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.1+.

13. Selecione Todas as categorias e taxonomias

Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.3.2
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.2+.

14. Gerenciador de Licença de Software

Vulnerabilidade : CSRF para XSS armazenado
Remendado na versão : 4.4.6
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 4.4.6+.

15. Vendedor de carros - Script de classificados de automóveis

Vulnerabilidade : injeção de SQL não autenticada
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

16. Store Locator Plus

Vulnerabilidade : scripts entre sites armazenados não autenticados
Remendado na versão : nenhuma correção conhecida
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

17. Boas Complementos para Elementor Free & Pro

Vulnerabilidade : script entre sites armazenados
Remendado grátis na versão : 2.24.0
Pro corrigido na versão : 1.17.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.24.0+ (grátis) / 1.17.0+ (Pro).

18. Cache mais rápido WP

Vulnerabilidade : exclusão de arquivo arbitrário autenticado por meio de passagem de caminho
Remendado na versão : 0.9.1.7
Gravidade : Baixa - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 0.9.1.7+.

19. WPGraphQL

Vulnerabilidade : negação de serviço
Remendado na versão : nenhuma correção conhecida
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

20. WooCommerce

Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 5.2.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 5.2.0+.

Vulnerabilidades de tema do WordPress

Nenhuma nova vulnerabilidade de tema foi divulgada esta semana.

Um plug-in de segurança do WordPress pode ajudar a proteger seu site

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Obtenha o iThemes Security Pro

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.