Relatório de vulnerabilidade do WordPress: março de 2021, parte 4
Publicados: 2021-03-30Novo plugin do WordPress e vulnerabilidades de tema foram divulgados durante a última semana de março. Esta postagem cobre o plugin, tema e vulnerabilidades principais do WordPress e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.
O Resumo de Vulnerabilidades do WordPress é dividido em três categorias diferentes: núcleo do WordPress, plug-ins do WordPress e temas do WordPress.
Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . As classificações de gravidade são baseadas no Common Vulnerability Scoring System.
Vulnerabilidades do núcleo do WordPress
Vulnerabilidades de plug-ins do WordPress
1. GiveWP
Vulnerabilidade : script entre sites refletido
Remendado na versão : 2.10.0
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. Mapplic e Mapplic Lite
Vulnerabilidade : SSRF para scripts entre sites armazenados
Remendado na versão : Mapplic Lite 1.0.1 e Mapplic 6.2.1
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
3. MapifyLife
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : nenhuma correção conhecida
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
4. Teste de página do Thrive AB
Vulnerabilidade : atualização de opção não autenticada
Com patch na versão : 1.4.13.3
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
5. Comentários de sucesso
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 1.4.15.3
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
6. Thrive Headline Optimizer
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 1.3.7.3
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
7. Prosperar Leads
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.3.9.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
8. Prosperar Ultimatum
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.3.9.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
9. Thrive Quiz Builder
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.3.9.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
10. Prosperar Aprendiz
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.3.9.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
11. Thrive Visual Editor
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.6.7.4
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
12. Thrive Dashboard
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.3.9.3
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
13. Thrive Ovation
Vulnerabilidade : atualização de opção não autenticada
Remendado na versão : 2.4.5
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
14. JH 404 Logger
Vulnerabilidade : scripts entre sites armazenados não autenticados
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
15. Diretório de Negócios
Vulnerabilidade : script entre sites refletido não autenticado
Remendado na versão : nenhuma correção conhecida
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N
16. Facebook para WordPress
Vulnerabilidade : injeção de objeto PHP com cadeia POP
Remendado na versão : 3.0.0
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
Vulnerabilidade : CSRF para XSS armazenado e exclusão de configurações
Remendado na versão : 3.0.4
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
17. Vertical News Scroller
Vulnerabilidade : Scripts Cross-Site Refletidos Autenticados
Remendado na versão : 1.17
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
18. Mestre de questionário e pesquisa
Vulnerabilidade : injeção de SQL autenticada via shortcode
Remendado na versão : 7.1.12
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
Vulnerabilidade : injeção de SQL autenticada via API Rest
Remendado na versão : 7.1.14
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
19. WP-Curricul Vitea Free
Vulnerabilidade : upload de arquivo arbitrário não autenticado para RCE
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
20. Formulário de Upload N5
Vulnerabilidade : upload de arquivo arbitrário não autenticado para RCE
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
21. Easy Form Builder
Vulnerabilidade : upload de arquivo arbitrário autenticado
Remendado na versão : nenhuma correção conhecida
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
22. Patreon WordPress
Vulnerabilidade : divulgação de arquivo local não autenticado
Remendado na versão : 1.7.0
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
Vulnerabilidade : CSRF para substituir / criar meta do usuário
Remendado na versão : 1.7.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
Vulnerabilidade : CSRF para desconectar sites do Patreon
Remendado na versão : 1.7.0
Gravidade : Média - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
Vulnerabilidade : CSRF para desconectar sites do Patreon
Remendado na versão : 1.7.0
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Vulnerabilidade : XSS refletido no formulário de login
Remendado na versão : 1.7.2
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Vulnerabilidade : XSS refletido na ação AJAX patreon_save_attachment_patreon_level
Remendado na versão : 1.7.2
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
23. Acessível
Vulnerabilidade : $ _SERVER Superglobal Leakage
Remendado na versão : 3.5.7
Gravidade : Alta - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
Vulnerabilidades de tema do WordPress
1. Todos os Temas do Thrive Temas Legados
Temas afetados: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive e Storied
Vulnerabilidade : upload de arquivo arbitrário não autenticado e exclusão de opção
Remendado na versão : 2.0.0
Gravidade : Crítico - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
Um plug-in de segurança do WordPress pode ajudar a proteger seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
Obtenha o iThemes Security Pro
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
