Relatório de vulnerabilidade do WordPress: outubro de 2021, parte 1

Publicados: 2021-10-06

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura.

Compartilhe esta postagem com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Conteúdo do Relatório de 6 de outubro de 2021
    Quer que este relatório seja entregue em sua caixa de entrada todas as semanas?
    Assine o e-mail semanal

    Vulnerabilidades do núcleo do WordPress

    A versão mais recente do núcleo do WordPress é a 5.8.1, lançada como uma versão de segurança e manutenção. Como prática recomendada, sempre certifique-se de executar a versão mais recente do núcleo do WordPress!

    Vulnerabilidades de plug-ins do WordPress

    Nesta seção, as vulnerabilidades do plug-in WordPress mais recentes foram divulgadas. Cada lista de plug-ins inclui o tipo de vulnerabilidade, o número da versão, se corrigido, e a classificação de gravidade.

    1. Ferramentas WP DSGVO

    Plugin: Ferramentas WP DSGVO
    Vulnerabilidade : atualização das configurações do plug-in não autenticado para scripts entre sites armazenados
    Remendado na versão : 3.1.24 - plugin fechado
    Pontuação de gravidade : alta

    Esta vulnerabilidade foi corrigida, mas o plugin foi fechado. Você deve encontrar um substituto o mais rápido possível.

    2. Ótimas citações

    Plugin: ótimas citações
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Patch na versão : nenhuma correção conhecida - plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Desinstale e exclua o plug-in até que um patch seja lançado.

    3. Depuração WP

    Plugin: depuração WP
    Vulnerabilidade : atualização das configurações do plug-in não autenticado
    Remendado na versão : 2.11.0
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.11.0.

    4. Verificar e registrar o e-mail

    Plug-in: verificar e registrar e-mail
    Vulnerabilidade : Admin + Injeções de SQL
    Remendado na versão : 1.0.3
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.0.3.

    5. Permalink Manager Lite

    Plugin: Permalink Manager Lite
    Vulnerabilidade : Admin + injeção de SQL
    Remendado na versão : 2.2.13.1
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.13.1.

    6. Tabela de produtos WooCommerce Lite

    Plug-in: Tabela de produtos WooCommerce Lite
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 2.4.0
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.4.0.

    7. WP Table Builder

    Plugin: WP Table Builder
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.3.10
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.10.

    8. Construtor de formulários visuais

    Plugin: Visual Form Builder
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 3.0.4
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.0.4.

    9. NinjaForms

    Plugin: NinjaForms
    Vulnerabilidade: Admin + Stored Cross-Site Scripting
    Remendado na versão : 3.5.8.2
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.5.8.2.

    10. Wappointment

    Plugin: Wappointment
    Vulnerabilidade : scripts entre sites armazenados não autenticados
    Remendado na versão : 2.2.5
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.5.

    11. Countdown e CountUp, cronômetros de vendas WooCommerce

    Plug-in: Countdown and CountUp, WooCommerce Sales Timers
    Vulnerabilidade : CSRF para scripts entre sites armazenados
    Remendado na versão : 1.5.8
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.8.

    11. uListing

    Plugin: uListing
    Vulnerabilidade : atualização de configurações via CSRF
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    Plugin: uListing
    Vulnerabilidade : injeção de SQL não autenticada
    Remendado na versão : 2.0.4
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.4.

    Plugin: uListing
    Vulnerabilidade : escalonamento de privilégio não autenticado
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    Plugin: uListing
    Vulnerabilidade : modificar funções do usuário via CSRF
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    Plugin: uListing
    Vulnerabilidade : CSRF múltiplo
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    Plugin: uListing
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    Plugin: uListing
    Vulnerabilidade : IDOR autenticado
    Remendado na versão : 2.0.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.6.

    12. Modo de manutenção YITH

    Plugin: Modo de Manutenção YITH
    Vulnerabilidade : Multiple Admin + Stored Cross-Site Scripting
    Remendado na versão : 1.4.0
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.4.0.

    Plugin: Modo de Manutenção YITH
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 1.3.8
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.8.

    13. Formulários de contato WordPress por Cimatti

    Plugin: Formulários de contato do WordPress por Cimatti
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 1.4.12
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.4.12.

    14. Tags OG

    Plugin: Tags OG
    Vulnerabilidade : atualização das configurações do plug-in via CSRF
    Remendado na versão : 2.0.2
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.0.2.

    15. Connections Business Directory

    Plugin: Connections Business Directory
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 10.4.3
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 10.4.3.

    16. Pré-carregador plano

    Plugin: Flat Preloader
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 1.5.5
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.5.

    Plugin: Flat Preloader
    Vulnerabilidade : CSRF para scripts entre sites armazenados
    Remendado na versão : 1.54
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.4.

    17. Cool Tag Cloud

    Plugin: Cool Tag Cloud
    Vulnerabilidade : Contribuidor + script entre sites armazenados
    Remendado na versão : 2.26
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.26.

    18. em construção

    Plugin: underConstruction
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 1.19
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.19.

    19. Menu de restaurante por MotoPress

    Plugin: Menu de restaurante da MotoPress
    Vulnerabilidade : script de site cruzado armazenado e autenticado
    Patch na versão : nenhuma correção conhecida - plug-in fechado
    Pontuação de gravidade : baixa

    Esta vulnerabilidade NÃO foi corrigida. Este plugin foi fechado em 20 de setembro de 2021. Desinstale e exclua.

    20. AutomatorWP

    Plugin: AutomatorWP
    Vulnerabilidade : autorização ausente e escalonamento de privilégios
    Remendado na versão : 1.7.6
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.7.6.

    21. WP Reactions Lite

    Plugin: WP Reactions Lite
    Vulnerabilidade : script de site cruzado armazenado e autenticado
    Remendado na versão : 1.3.6
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.3.6.

    22. Lista de preços elegante

    Plugin: lista de preços elegante
    Vulnerabilidade : upload de imagem arbitrária de assinante
    Remendado na versão : 6.9.1
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.9.1.

    Plugin: lista de preços elegante
    Vulnerabilidade : upload de imagem arbitrária não autenticada
    Remendado na versão : 6.9.0
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.9.0.

    23 ícones sociais fáceis

    Plug-in: ícones sociais fáceis
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 3.0.9
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.0.9.

    Plug-in: ícones sociais fáceis
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 3.1.3
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.1.3.

    24. WPeMatico RSS Feed Fetcher

    Plugin: WPeMatico RSS Feed Fetcher
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 2.6.12
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.6.12.

    25. Gerenciador de download do WordPress

    Plugin: gerenciador de download do WordPress
    Vulnerabilidade : Admin + Stored Cross-Site Scripting
    Remendado na versão : 3.2.16
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.2.16.

    26. Calendário de eventos moderno Lite

    Plugin: Modern Events Calendar Lite
    Vulnerabilidade : script de site cruzado armazenado e autenticado
    Remendado na versão : 5.22.3
    Pontuação de gravidade : baixa

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 5.22.3.

    27. Credova_Financial

    Plugin: Credova_Financial
    Vulnerabilidade : divulgação de informações confidenciais
    Remendado na versão : 1.4.9
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.4.9.

    28. JS Job Manager

    Plugin: JS Job Manager
    Vulnerabilidade : instalação / ativação de plug-in arbitrário não autenticado
    Patch na versão : nenhuma correção conhecida - plug-in fechado
    Pontuação de gravidade : crítica

    Esta vulnerabilidade NÃO foi corrigida. Este plugin foi fechado em 30 de setembro de 2021. Desinstale e exclua.

    29. Eventos facilitados

    Plug-in: eventos facilitados
    Vulnerabilidade : Multi CSRF para script entre sites armazenados e exclusão de eventos
    Remendado na versão : 1.5.50
    Pontuação de gravidade : alta

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.5.50.

    30. Stripe para WooCommerce

    Plugin: Stripe para WooCommerce
    Vulnerabilidade : controles de autorização ausentes para invasão de contas financeiras
    Remendado na versão : 3.3.10
    Pontuação de gravidade : média

    A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.3.10.

    Como proteger seu site WordPress contra plug-ins e temas vulneráveis

    Como você pode ver neste relatório, muitos novos plug-ins do WordPress e vulnerabilidades de tema são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, então o plug-in iThemes Security Pro torna mais fácil garantir que seu site não esteja executando um tema, plug-in ou versão central do WordPress com uma vulnerabilidade conhecida.

    1. Ligue o iThemes Security Pro Site Scanner

    O Site Scanner do plug-in iThemes Security Pro verifica o principal motivo pelo qual os sites do WordPress são hackeados: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.

    Para habilitar a Verificação do Site em novas instalações, navegue até a guia Verificação do Site no menu Recursos dentro do plug-in e clique no botão para habilitar a Verificação do Site .

    Esta imagem tem um atributo alt vazio; o nome do arquivo é enable-site-scan-1-1024x519.png

    Para acionar uma verificação manual do site, clique no botão Verificar agora no cartão do painel de segurança de verificação do site.

    Esta imagem tem um atributo alt vazio; o nome do arquivo é Site-Scans-Security-Card.png

    Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.

    Esta imagem tem um atributo alt vazio; o nome do arquivo é vulnerabilities-details-page-1024x580.png

    Na página de vulnerabilidade do Site Scan, você verá se há uma correção disponível para a vulnerabilidade. Se houver um patch disponível, você pode clicar no botão Atualizar plug-in para aplicar a correção em seu site.

    2. Ative o gerenciamento de versão para atualizar automaticamente se corrigir a vulnerabilidade

    O recurso de gerenciamento de versão no iThemes Security Pro se integra ao Site Scan para proteger o seu site quando o software desatualizado não for atualizado com a rapidez necessária. Mesmo as medidas de segurança mais fortes falharão se você estiver executando um software vulnerável em seu site. Essas configurações ajudam a proteger seu site com opções de atualização para novas versões automaticamente se houver uma vulnerabilidade conhecida e um patch estiver disponível.

    Na página Configurações do iThemes Security Pro, navegue até a tela Recursos. Clique na guia Site Check. A partir daqui, use o botão de alternância para habilitar o gerenciamento de versão. Usando a engrenagem de configurações, você pode definir ainda mais configurações, incluindo como deseja que o iThemes Security Pro lide com atualizações para WordPress, plug-ins, temas e proteção adicional.

    Certifique-se de selecionar Atualização automática se corrige uma caixa de vulnerabilidade para que o iThemes Security Pro atualize automaticamente um plug-in ou tema se ele corrigir uma vulnerabilidade que foi encontrada pelo Scanner de site.

    Gerenciamento de versão do iThemes Security Pro

    3. Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site

    Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .

    Esta imagem tem um atributo alt vazio; o nome do arquivo é site-scan-results-1024x550.jpg

    Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .

    Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.

    site-scan-results

    Obtenha o iThemes Security Pro e descanse um pouco mais fácil esta noite

    O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.

    • Verificador de site para vulnerabilidades de plugins e temas
    • Painel de segurança do site em tempo real
    • Detecção de alteração de arquivo
    • Registros de segurança do WordPress
    • Dispositivos confiáveis
    • reCAPTCHA
    • Proteção de força bruta
    • Autenticação de dois fatores
    • Links de login mágicos
    • Escalada de privilégios
    • Verificação e recusa de senhas comprometidas

    Obtenha o iThemes Security Pro