Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de baja, media, alta o crítica. La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. ¡ Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos !
Vulnerabilidades del núcleo de WordPress
WordPress 6.0.2 se lanzó el 30 de agosto de 2022. Esta versión de seguridad y mantenimiento presenta 12 correcciones de errores en Core , 5 correcciones de errores para el Editor de bloques y 3 correcciones de seguridad . Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios de inmediato.
- No se revelaron nuevas vulnerabilidades del núcleo de WordPress esta semana.
Compatibilidad con la eliminación del núcleo de WordPress para las versiones de WordPress 3.7. – 4.0
En más noticias de seguridad del núcleo de WordPress, el equipo de seguridad de WordPress ya no proporcionará actualizaciones de seguridad para las versiones del núcleo de WordPress 3.7 – 4.0. Asegúrese de que todos sus sitios de WordPress estén ejecutando la última versión.
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la calificación de gravedad.
Formulario de contacto por WPForms
PLUGIN: Contact Form by WPForms – Drag & Drop Form Builder for WordPress
INSTALACIONES: 5,000,000+
VULNERABILIDAD: Admin+ Acceso arbitrario a archivos
VERSIÓN PARCHEADA: 1.7.5.5
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.7.5.5.
Sucuri Seguridad
PLUGIN: Sucuri Security – Auditing, Malware Scanner and Security Hardening
INSTALACIONES: 800,000+
VULNERABILIDAD: Creación de entrada de registro de eventos a través de CSRF
VERSIÓN PARCHEADA: 1.8.34
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.8.34.
Control deslizante, galería y carrusel de MetaSlider
PLUGIN: Slider, Gallery, and Carousel by MetaSlider – Responsive WordPress Plugin
INSTALACIONES: 700,000+
VULNERABILIDAD: Admin+ Scripts de sitios cruzados almacenados
VERSIÓN PARCHEADA: 3.27.9
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 3.27.9.
Habilitar reemplazo de medios
PLUGIN: Enable Media Replace
INSTALACIONES: 600,000+
VULNERABILIDAD: Administración+ Travesía de ruta
VERSIÓN PARCHEADA: 4.0.0
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 4.0.0.
reSmush.it Optimizador de imágenes
PLUGIN: reSmush.it : the only free Image Optimizer & compress plugin
INSTALACIONES: 200,000+
VULNERABILIDAD: Admin+ Secuencias de comandos entre sitios
VERSIÓN PARCHEADA: 0.4.6
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 0.4.6.
Descargar monitor
PLUGIN: Download Monitor
INSTALACIONES: 100,000+
VULNERABILIDAD: Admin+ Descarga de archivos arbitrarios
VERSIÓN PARCHEADA: 4.5.98
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.5.98.
Impulsor para WooCommerce
PLUGIN: Booster for WooCommerce
INSTALACIONES: 70,000+
VULNERABILIDAD: Actualización del estado del pedido del suscriptor+
VERSIÓN PARCHEADA: 5.6.3
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 5.6.3.
BuscarWP Live Ajax Buscar
PLUGIN: SearchWP Live Ajax Search
INSTALACIONES: 60,000+
VULNERABILIDAD: Inclusión de archivos locales no autenticados
VERSIÓN PARCHEADA: 1.6.3
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.6.3.
WP 2FA
PLUGINWP 2FA – Two-factor authentication for WordPress
INSTALACIONES: 30,000+
VULNERABILIDAD: Ataque de canal lateral basado en el tiempo
VERSIÓN PARCHEADA: 2.3.0
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 2.3.0.
Barra superior
PLUGIN: Top Bar
INSTALACIONES: 20,000+
VULNERABILIDAD: Admin+ Scripts entre sitios almacenados
VERSIÓN PARCHEADA: 3.0.4
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 3.0.4.
Importe todos los XML, CSV y TXT en WordPress
PLUGIN: Import all XML, CSV & TXT into WordPress
INSTALACIONES: 20,000+
VULNERABILIDAD: Administrador+ SQLi; Autorización faltante
VERSIÓN PARCHEADA: 6.5.8
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 6.5.8.
Formulario de comentario avanzado
PLUGIN: Advanced Comment Form
INSTALACIONES: 6,000+
VULNERABILIDAD: Admin+ XSS almacenado autenticado
VERSIÓN PARCHEADA: 1.2.1
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.2.1.
Lista de archivos simples
PLUGIN: Simple File List
INSTALACIONES: 5,000+
VULNERABILIDAD: Creación de página a través de CSRF; Admin+ Scripts entre sitios almacenados
VERSIÓN PARCHEADA: 4.4.13
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.4.13.
Cohete social
PLUGIN: Social Rocket – Social Sharing Plugin
INSTALACIONES: 3,000+
VULNERABILIDAD: Admin+ Scripts entre sitios almacenados
VERSIÓN PARCHEADA: 1.3.3
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.3.3.
¡Estaban abiertos!
PLUGIN: We’re Open!
INSTALACIONES: 2,000+
VULNERABILIDAD: Admin+ Scripts entre sitios almacenados
VERSIÓN PARCHEADA: 1.42
PUNTUACIÓN DE GRAVEDAD: Bajo
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.42.
Múltiples complementos de Viszt Peter – Woo Billingo Plus
PLUGIN: Woo Billingo Plus
INSTALACIONES: 500+
VULNERABILIDAD: Múltiples CSRF
VERSIÓN PARCHEADA: 4.4.5.4
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 4.4.5.4.
Generador de tareas
PLUGIN: Taskbuilder – WordPress Project & Task Management plugin
INSTALACIONES: 100+
VULNERABILIDAD: Suscriptor+ XSS almacenado a través de la carga de archivos SVG
VERSIÓN PARCHEADA: 1.0.8
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.0.8.
Múltiples complementos de Viszt Peter: integración para Szamlazz.hu y Gravity Forms
PLUGIN: Integration for Szamlazz.hu & Gravity Forms
INSTALACIONES: 40+
VULNERABILIDAD: Suscriptor+ XSS almacenado a través de la carga de archivos SVG
VERSIÓN PARCHEADA: 1.2.7
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.2.7.
Múltiples complementos de Viszt Peter: integración para Billingo y Gravity Forms
PLUGIN: Integration for Billingo & Gravity Forms
INSTALACIONES: 10+
VULNERABILIDAD: Múltiples CSRF
VERSIÓN PARCHEADA: 1.0.4
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 1.0.4.
Impulsor para WooCommerce
PLUGIN: Booster Plus for WooCommerce
VULNERABILIDAD: Actualización del estado del pedido del suscriptor+
VERSIÓN PARCHEADA: 5.6.1
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 5.6.1.
Vulnerabilidades del complemento de WordPress – Sin solución conocida
Esta sección contiene vulnerabilidades de complementos sin solución conocida. Hasta que haya un parche disponible, desinstale y elimine inmediatamente el complemento.
Deshabilitar inicio de sesión de usuario
PLUGIN: Disable User Login
INSTALACIONES: 1,000+
VULNERABILIDAD: Actualización de configuración no autenticada
VERSIÓN PARCHEADA: Sin arreglo
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.
Descargas de Memberpress
PLUGIN: Memberpress Downloads
VULNERABILIDAD: Suscriptor+ Carga arbitraria de archivos
VERSIÓN PARCHEADA: Sin arreglo
PUNTUACIÓN DE GRAVEDAD: Crítico
La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.
Lista de precios de criptomonedas y teletipo
PLUGIN: Cryptocurrency Pricing list and Ticker
VULNERABILIDAD: Secuencias de comandos reflejadas entre sitios
VERSIÓN PARCHEADA: Sin arreglo
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad no ha sido parcheada y el complemento está cerrado. Debe desinstalar y eliminar el complemento.
Registrador de búsqueda
PLUGIN: Search Logger – Know What Your Visitors Search
VULNERABILIDAD: Administrador+ SQLi
VERSIÓN PARCHEADA: Sin arreglo
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad no ha sido parcheada y el complemento está cerrado. Debe desinstalar y eliminar el complemento.
Puerta de enlace WPG
PLUGIN: WPGateway
VULNERABILIDAD: Escalada de privilegios sin autenticar
VERSIÓN PARCHEADA: Sin arreglo
PUNTUACIÓN DE GRAVEDAD: Crítico
La vulnerabilidad no ha sido parcheada. Deberías desactivar el plugin.
Vulnerabilidades del tema de WordPress
En esta sección, se han revelado las últimas vulnerabilidades del tema de WordPress. Cada lista de temas incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la calificación de gravedad.
Soledad
THEME: soledad
VULNERABILIDAD: Secuencias de comandos reflejadas entre sitios
VERSIÓN PARCHEADA: 8.2.5
PUNTUACIÓN DE GRAVEDAD: Medio
La vulnerabilidad ha sido parcheada, por lo que debe actualizar a la versión 8.2.5.
Referencia: https://ithemes.com/blog/wordpress-vulnerability-report-september-21-2022