Relatório de vulnerabilidade do WordPress: abril de 2021, parte 4

Publicados: 2021-04-28

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. Este relatório cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress. Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.

No Relatório de Abril, Parte 4
    Obtenha o relatório de vulnerabilidade do iThemes Security WordPress entregue na sua caixa de entrada
    Inscreva-se para o relatório

    Vulnerabilidades do núcleo do WordPress

    O WordPress 5.7.1 foi lançado em 15 de abril de 2021. Esta versão de segurança e manutenção apresenta 26 correções de bugs, além de duas correções de segurança. Como este é um lançamento de segurança do núcleo do WordPress, é recomendável que você atualize seus sites imediatamente!

    Vulnerabilidades de plug-ins do WordPress

    1. Acordeão

    Vulnerabilidade : Scripts Cross-Site Refletidos Autenticados
    Remendado na versão : 2.2.30
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.30+.

    2. RSS para Yandex Turbo

    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 1.30
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.30+.

    3. Complementos do Kaswara Modern VC

    Vulnerabilidade : upload de arquivo arbitrário não autenticado
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    4. WP Content Copy Protection & No Right Click

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : 3.4
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : 3.5.1
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.5.1+.

    5. Mailer de marketing condicional para WooCommerce

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : 1.6
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : 1.5.2
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.6+.

    6. Captchinoo, recaptcha do Google para a página de login do administrador

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    7. Modo de manutenção WP e local em construção

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : Instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    8. Mapa do site da árvore

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    9. Proteção de login - Limite de tentativas de login com falha

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    10. Estatísticas em tempo real do tráfego de visitantes

    Vulnerabilidade : instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : 2.13
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : 2.12
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.13+.

    11. Faça login como usuário ou cliente

    Vulnerabilidade : Instalação / ativação arbitrária de plug-in via CSRF
    Remendado na versão : 2.1
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    Vulnerabilidade : instalação / ativação arbitrária de plug-ins por meio de usuário de baixo privilégio
    Remendado na versão : 1.8
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.1+.

    12. Redirecionar 404 para o pai

    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.3.1
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.1+.

    13. Selecione Todas as categorias e taxonomias

    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.3.2
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.2+.

    14. Gerenciador de Licença de Software

    Vulnerabilidade : CSRF para XSS armazenado
    Remendado na versão : 4.4.6
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 4.4.6+.

    15. Vendedor de carros - Script de classificados de automóveis

    Vulnerabilidade : injeção de SQL não autenticada
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    16. Store Locator Plus

    Vulnerabilidade : scripts entre sites armazenados não autenticados
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    17. Boas Complementos para Elementor Free & Pro

    Vulnerabilidade : script entre sites armazenados
    Remendado grátis na versão : 2.24.0
    Pro corrigido na versão : 1.17.0
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.24.0+ (grátis) / 1.17.0+ (Pro).

    18. Cache mais rápido WP

    WP Fastest Cache Logo

    Vulnerabilidade : exclusão de arquivo arbitrário autenticado por meio de passagem de caminho
    Remendado na versão : 0.9.1.7
    Gravidade : Baixa - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 0.9.1.7+.

    19. WPGraphQL

    Vulnerabilidade : negação de serviço
    Remendado na versão : nenhuma correção conhecida
    Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    20. WooCommerce

    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 5.2.0
    Gravidade : Média - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 5.2.0+.

    Vulnerabilidades de tema do WordPress

    Nenhuma nova vulnerabilidade de tema foi divulgada esta semana.

    Um plug-in de segurança do WordPress pode ajudar a proteger seu site

    O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

    Obtenha o iThemes Security Pro