Informe de vulnerabilidad de WordPress – 21 de septiembre de 2022

Fecha: 21 de septiembre de 2022

Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de baja, media, alta o crítica. La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. ¡ Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos !

Vulnerabilidades del núcleo de WordPress

WordPress 6.0.2 se lanzó el 30 de agosto de 2022. Esta versión de seguridad y mantenimiento presenta 12 correcciones de errores en Core , 5 correcciones de errores para el Editor de bloques y 3 correcciones de seguridad . Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios de inmediato.

  • No se revelaron nuevas vulnerabilidades del núcleo de WordPress esta semana.

Compatibilidad con la eliminación del núcleo de WordPress para las versiones de WordPress 3.7. – 4.0

En más noticias de seguridad del núcleo de WordPress, el equipo de seguridad de WordPress ya no proporcionará actualizaciones de seguridad para las versiones del núcleo de WordPress 3.7 – 4.0. Asegúrese de que todos sus sitios de WordPress estén ejecutando la última versión.

Vulnerabilidades del complemento de WordPress

En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la calificación de gravedad.

Formulario de contacto por WPForms

Imagen del producto para el formulario de contacto de WPForms: generador de formularios de arrastrar y soltar para WordPress.

PLUGIN: Contact Form by WPForms – Drag & Drop Form Builder for WordPress

INSTALACIONES: 5,000,000+

VULNERABILIDAD: Admin+ Acceso arbitrario a archivos

VERSIÓN PARCHEADA: 1.7.5.5

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.7.5.5.


Sucuri Seguridad

Imagen del producto para Sucuri Security: auditoría, escáner de malware y refuerzo de seguridad.

PLUGIN: Sucuri Security – Auditing, Malware Scanner and Security Hardening

INSTALACIONES: 800,000+

VULNERABILIDAD: Creación de entrada de registro de eventos a través de CSRF

VERSIÓN PARCHEADA: 1.8.34

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.8.34.


Control deslizante, galería y carrusel de MetaSlider

Imagen del producto para Slider, Gallery y Carousel de MetaSlider: complemento de WordPress receptivo.

PLUGIN: Slider, Gallery, and Carousel by MetaSlider – Responsive WordPress Plugin

INSTALACIONES: 700,000+

VULNERABILIDAD: Admin+ Scripts de sitios cruzados almacenados

VERSIÓN PARCHEADA: 3.27.9

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 3.27.9.


Habilitar reemplazo de medios

Imagen del producto para Habilitar reemplazo de medios.

PLUGIN: Enable Media Replace

INSTALACIONES: 600,000+

VULNERABILIDAD: Administración+ Travesía de ruta

VERSIÓN PARCHEADA: 4.0.0

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 4.0.0.


reSmush.it Optimizador de imágenes

Imagen del producto para reSmush.it: el único complemento gratuito de optimización y compresión de imágenes.

PLUGIN: reSmush.it : the only free Image Optimizer & compress plugin

INSTALACIONES: 200,000+

VULNERABILIDAD: Admin+ Secuencias de comandos entre sitios

VERSIÓN PARCHEADA: 0.4.6

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 0.4.6.


Descargar monitor

Imagen del producto para Descargar Monitor.

PLUGIN: Download Monitor

INSTALACIONES: 100,000+

VULNERABILIDAD: Admin+ Descarga de archivos arbitrarios

VERSIÓN PARCHEADA: 4.5.98

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.5.98.


Impulsor para WooCommerce

Imagen de producto para Booster para WooCommerce.

PLUGIN: Booster for WooCommerce

INSTALACIONES: 70,000+

VULNERABILIDAD: Actualización del estado del pedido del suscriptor+

VERSIÓN PARCHEADA: 5.6.3

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 5.6.3.


BuscarWP Live Ajax Buscar

Imagen del producto para SearchWP Live Ajax Search.

PLUGIN: SearchWP Live Ajax Search

INSTALACIONES: 60,000+

VULNERABILIDAD: Inclusión de archivos locales no autenticados

VERSIÓN PARCHEADA: 1.6.3

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.6.3.


WP 2FA

Imagen del producto para WP 2FA: autenticación de dos factores para WordPress.

PLUGINWP 2FA – Two-factor authentication for WordPress

INSTALACIONES: 30,000+

VULNERABILIDAD: Ataque de canal lateral basado en el tiempo

VERSIÓN PARCHEADA: 2.3.0

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 2.3.0.


Barra superior

Imagen del producto para la barra superior.

PLUGIN: Top Bar

INSTALACIONES: 20,000+

VULNERABILIDAD: Admin+ Scripts entre sitios almacenados

VERSIÓN PARCHEADA: 3.0.4

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 3.0.4.


Importe todos los XML, CSV y TXT en WordPress

Imagen del producto para Importar todos los XML, CSV y TXT a WordPress.

PLUGIN: Import all XML, CSV & TXT into WordPress

INSTALACIONES: 20,000+

VULNERABILIDAD: Administrador+ SQLi; Autorización faltante

VERSIÓN PARCHEADA: 6.5.8

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 6.5.8.


Formulario de comentario avanzado

Imagen del producto para el formulario de comentarios avanzados.

PLUGIN: Advanced Comment Form

INSTALACIONES: 6,000+

VULNERABILIDAD: Admin+ XSS almacenado autenticado

VERSIÓN PARCHEADA: 1.2.1

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.2.1.


Lista de archivos simples

PLUGIN: Simple File List

INSTALACIONES: 5,000+

VULNERABILIDAD: Creación de página a través de CSRF; Admin+ Scripts entre sitios almacenados

VERSIÓN PARCHEADA: 4.4.13

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.4.13.


Cohete social

Imagen del producto para Social Rocket: complemento para compartir en redes sociales.

PLUGIN: Social Rocket – Social Sharing Plugin

INSTALACIONES: 3,000+

VULNERABILIDAD: Admin+ Scripts entre sitios almacenados

VERSIÓN PARCHEADA: 1.3.3

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.3.3.


¡Estaban abiertos!

Imagen del producto para We're Open!.

PLUGIN: We’re Open!

INSTALACIONES: 2,000+

VULNERABILIDAD: Admin+ Scripts entre sitios almacenados

VERSIÓN PARCHEADA: 1.42

PUNTUACIÓN DE GRAVEDAD: Bajo

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.42.


Múltiples complementos de Viszt Peter – Woo Billingo Plus

Imagen del producto para Woo Billingo Plus.

PLUGIN: Woo Billingo Plus

INSTALACIONES: 500+

VULNERABILIDAD: Múltiples CSRF

VERSIÓN PARCHEADA: 4.4.5.4

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.4.5.4.


Generador de tareas

Imagen del producto para Taskbuilder: complemento de administración de proyectos y tareas de WordPress.

PLUGIN: Taskbuilder – WordPress Project & Task Management plugin

INSTALACIONES: 100+

VULNERABILIDAD: Suscriptor+ XSS almacenado a través de la carga de archivos SVG

VERSIÓN PARCHEADA: 1.0.8

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.0.8.


Múltiples complementos de Viszt Peter: integración para Szamlazz.hu y Gravity Forms

Imagen del producto para Integración para Szamlazz.hu y Gravity Forms.

PLUGIN: Integration for Szamlazz.hu & Gravity Forms

INSTALACIONES: 40+

VULNERABILIDAD: Suscriptor+ XSS almacenado a través de la carga de archivos SVG

VERSIÓN PARCHEADA: 1.2.7

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.2.7.


Múltiples complementos de Viszt Peter: integración para Billingo y Gravity Forms

Imagen de producto para Integración para Billingo & Gravity Forms.

PLUGIN: Integration for Billingo & Gravity Forms

INSTALACIONES: 10+

VULNERABILIDAD: Múltiples CSRF

VERSIÓN PARCHEADA: 1.0.4

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.0.4.


Impulsor para WooCommerce

PLUGIN: Booster Plus for WooCommerce

VULNERABILIDAD: Actualización del estado del pedido del suscriptor+

VERSIÓN PARCHEADA: 5.6.1

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 5.6.1.

Vulnerabilidades del complemento de WordPress – Sin solución conocida

Esta sección contiene vulnerabilidades de complementos sin solución conocida. Hasta que haya un parche disponible, desinstale y elimine inmediatamente el complemento.

Deshabilitar inicio de sesión de usuario

Imagen del producto para Deshabilitar inicio de sesión de usuario.

PLUGIN: Disable User Login

INSTALACIONES: 1,000+

VULNERABILIDAD: Actualización de configuración no autenticada

VERSIÓN PARCHEADA: Sin arreglo

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.


Descargas de Memberpress

PLUGIN: Memberpress Downloads

VULNERABILIDAD: Suscriptor+ Carga arbitraria de archivos

VERSIÓN PARCHEADA: Sin arreglo

PUNTUACIÓN DE GRAVEDAD: Crítico

La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.


Lista de precios de criptomonedas y teletipo

PLUGIN: Cryptocurrency Pricing list and Ticker

VULNERABILIDAD: Secuencias de comandos reflejadas entre sitios

VERSIÓN PARCHEADA: Sin arreglo

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad no ha sido parcheada y el complemento está cerrado. Debe desinstalar y eliminar el complemento.


Registrador de búsqueda

PLUGIN: Search Logger – Know What Your Visitors Search

VULNERABILIDAD: Administrador+ SQLi

VERSIÓN PARCHEADA: Sin arreglo

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad no ha sido parcheada y el complemento está cerrado. Debe desinstalar y eliminar el complemento.


Puerta de enlace WPG

PLUGIN: WPGateway

VULNERABILIDAD: Escalada de privilegios sin autenticar

VERSIÓN PARCHEADA: Sin arreglo

PUNTUACIÓN DE GRAVEDAD: Crítico

La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.

Vulnerabilidades del tema de WordPress

En esta sección, se han revelado las últimas vulnerabilidades del tema de WordPress. Cada lista de temas incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la calificación de gravedad.

Soledad

THEME: soledad

VULNERABILIDAD: Secuencias de comandos reflejadas entre sitios

VERSIÓN PARCHEADA: 8.2.5

PUNTUACIÓN DE GRAVEDAD: Medio

La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 8.2.5.


Referencia: https://ithemes.com/blog/wordpress-vulnerability-report-september-21-2022

Noticias Recientes

Kaspersky, líder en protección de patos para endpoints

Kaspersky le agradece a los clientes que lo ha nombrado como el proveedor líder número 1 en un nuevo informe de Info-Tech. El nuevo Informe del Cuadrante de Protección de Datos para Endpoints de Info-Tech Research en 2022 analiza a los proveedores clave en múltiples...

Google puso al descubierto 6 maneras de hackear un iPhone

Un equipo de cazadores de fallos que trabajan para Google puso al descubierto el punto más débil del iPhone: la app iMessage. El equipo, llamado Google Zero, afirma que encontró cinco errores en el servicio de mensajería que haría a los iPhone extremadamente...

¿Qué secretos puede revelar de tu salud un análisis genético?

Cada vez está más cerca la era de la medicina personalizada, basada en las características genéticas de cada quien. Este avance es posible gracias a que los costos de secuenciar el genoma son cada vez menores y a que la inteligencia artificial se encarga de analizar...

No More Ransom, recupera tu computador infectado de virus

La guerra cibernética contra el ransomware, un tipo de virus que los criminales usan para extorsionar, está ganando pequeñas batallas diarias. Cuando la computadora de un usuario es infectada, los hackers piden un rescate a cambio de desbloquearla. Si no se atiende al...