Le nuove vulnerabiliti dei plugin e dei temi per WordPress sono stati resi noti da Ithemes durante il mese di ottobre 2020. In questo post, trattiamo le recenti vulnerabilità a plug-in, temi e al core di WordPress e cosa fare se hai uno di questi strumenti sul tuo sito web.
Il riepilogo delle vulnerabilità di WordPress è suddiviso in tre diverse categorie: core di WordPress, plugin di WordPress e temi di WordPress.
Vulnerabilità principali di WordPress
Non sono state rilevate vulnerabilità principali di WordPress a Ottobre.
Vulnerabilità dei plugin di WordPress
1.XCloner
Le versioni di XCloner precedenti alla 4.2.15 presentano una vulnerabilità Cross-Site Request Forgery.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 4.2.15
2. Ninja Forms Contact Form
Le versioni di Ninja Forms Contact Form precedenti alla 3.4.27.1 presentano una vulnerabilità Cross-Site Request Forgery.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 3.4.27.1.
3. Coditor
Tutte le versioni di Coditor hanno una vulnerabilità Cross-Site Request Forgery.
Rimuovere il plug-in fino al rilascio di una patch per la sicurezza.
4. Simple:Press
Le versioni precedenti alla 6.6.1 presentano una vulnerabilità Broken Access Control, che potrebbe causare un attacco Remote Code Execution.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 6.6.1.
5. WP Courses LMS
Le versioni di WP Courses LMS precedenti alla 2.0.29 presentano una vulnerabilità Broken Access Control.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.0.29.
6. Slider by 10Web
Le versioni Slider by 10Web precedenti alla 1.2.36 presentano più vulnerabilità SQL Injection autenticate.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.2.36.
7. WordPress + Microsoft Office 365 / Azure AD
Le versioni di WordPress + Microsoft Office 365 / Azure AD precedenti alla 11.7 presentano una vulnerabilità Authentication Bypass.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 11.7.
8. Team Showcase
Le versioni di Team Showcase precedenti alla 1.22.16 presentano una vulnerabilità Stored Cross-Site Scripting.
La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.22.16.
9. Post Grid
Le versioni Post Grid precedenti alla 2.0.73 presentano una vulnerabilità Authenticated Stored Cross-Site Scripting.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.0.73.
10. WPBakery Page Builder
Le versioni di WPBakery Page Builder precedenti alla 6.4.1 presentano una vulnerabilità Authenticated Stored Cross-Site Scripting.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 6.4.1.
11. Hypercomments
In tutte le versioni di Hypercomments è presente una Vulnerabilità Unauthenticated Arbitrary File Deletion.
Rimuovere il plug-in fino al rilascio di una correzione per la sicurezza.
12. Dynamic Content for Elementor
Il contenuto dinamico per le versioni di Elementor precedenti alla 1.9.6 presenta una vulnerabilità Authenticated Remote Code Execution.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.9.6.
13. PowerPress Podcasting
Le versioni di PowerPress Podcasting precedenti alla 8.3.8 hanno problemi di Authenticated Arbitrary File Upload che portano a una vulnerabilità Remote Code Execution.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 8.3.8.
Vulnerabilità dei temi WordPress
1. Shapely
Le versioni Shapely precedenti alla v1.2.9 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta ed è necessario aggiornare alla versione v1.2.9.
2. NewsMag
Le versioni di NewsMag precedenti alla 2.4.2 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.4.2.
3. Activello
Le versioni di Activello precedenti alla 1.4.2 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.4.2.
4. Illdy
Le versioni Illdy precedenti alla 2.1.7 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.1.7.
5. Allegiant
Le versioni Allegiant precedenti alla 1.2.6 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.2.6.
6. Newspaper X
Le versioni di Newspaper X precedenti alla 1.3.2 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.3.2.
7. Pixova Lite
Le versioni Pixova Lite precedenti alla 2.0.7 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.0.7.
8. Brilliance
Le versioni Brilliance precedenti alla 1.3.0 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.3.0.
9. MedZone Lite
Le versioni MedZone Lite precedenti alla 1.2.6 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.2.6.
10. Regina Lite
Le versioni di Regina Lite precedenti alla 2.0.6 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 2.0.6.
12. Trascend
Le versioni Transcend precedenti alla 1.2.0 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.2.0.
13. Affluent
Le versioni Affluent precedenti alla 1.1.2 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.1.2.
14. Bonkers
Le versioni di Bonkers precedenti alla 1.0.6 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.0.6.
15. Antreas
Le versioni di Antreas precedenti alla 1.0.7 presentano una vulnerabilità Unauthenticated Function Injection.
La vulnerabilità è stata corretta e dovresti aggiornarla alla versione 1.0.7.
16. NatureMag Lite
Tutte le versioni di NatureMag Lite presentano una vulnerabilità Unauthenticated Function Injection.
Rimuovere il tema fino al rilascio di una patch per la sicurezza.
Fonte: Ithemes