Relatório de vulnerabilidade do WordPress: abril de 2021, parte 4
Publicados: 2021-04-28Plug-ins e temas vulneráveis são o principal motivo pelo qual os sites do WordPress são hackeados. Este relatório cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.
O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress. Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.
Vulnerabilidades do núcleo do WordPress
O WordPress 5.7.1 foi lançado em 15 de abril de 2021. Esta versão de segurança e manutenção apresenta 26 correções de bugs, além de duas correções de segurança. Como este é um lançamento de segurança do núcleo do WordPress, é recomendável que você atualize seus sites imediatamente!
Vulnerabilidades de plug-ins do WordPress
1. Acordeão

Vulnerabilidade : Scripts Cross-Site Refletidos Autenticados
Remendado na versão : 2.2.30
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. RSS para Yandex Turbo

Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 1.30
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
3. Complementos do Kaswara Modern VC
Vulnerabilidade : upload de arquivo arbitrário não autenticado
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
4. WP Content Copy Protection & No Right Click

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 3.4
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 3.5.1
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
5. Mailer de marketing condicional para WooCommerce

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 1.6
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 1.5.2
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
6. Captchinoo, recaptcha do Google para a página de login do administrador
Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
7. Modo de manutenção WP e local em construção
Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : Instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
8. Mapa do site da árvore
Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
9. Proteção de login - Limite de tentativas de login com falha
Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
10. Estatísticas em tempo real do tráfego de visitantes

Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 2.13
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 2.12
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
11. Faça login como usuário ou cliente

Vulnerabilidade : Instalação / ativação arbitrária de plug-in via CSRF
Remendado na versão : 2.1
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
Remendado na versão : 1.8
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
12. Redirecionar 404 para o pai

Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.3.1
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
13. Selecione Todas as categorias e taxonomias
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.3.2
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. Gerenciador de Licença de Software

Vulnerabilidade : CSRF para XSS armazenado
Remendado na versão : 4.4.6
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
15. Vendedor de carros - Script de classificados de automóveis
Vulnerabilidade : injeção de SQL não autenticada
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L
16. Store Locator Plus
Vulnerabilidade : scripts entre sites armazenados não autenticados
Remendado na versão : nenhuma correção conhecida
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
17. Boas Complementos para Elementor Free & Pro

Vulnerabilidade : script entre sites armazenados
Remendado grátis na versão : 2.24.0
Pro corrigido na versão : 1.17.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
18. Cache mais rápido WP

Vulnerabilidade : exclusão de arquivo arbitrário autenticado por meio de passagem de caminho
Remendado na versão : 0.9.1.7
Gravidade : Baixa - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L
19. WPGraphQL
Vulnerabilidade : negação de serviço
Remendado na versão : nenhuma correção conhecida
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
20. WooCommerce

Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 5.2.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N
Vulnerabilidades de tema do WordPress
Um plug-in de segurança do WordPress pode ajudar a proteger seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
Obtenha o iThemes Security Pro
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
