▶Notícias Sobre Vulnerabilidades no WordPress

As notícias de vulnerabilidade do WordPress são um resumo semanal das vulnerabilidades de segurança ou divulgações de vulnerabilidades destacadas do plugin WordPress que foram publicadas (existem outras vulnerabilidades menos críticas em plugins menores que, infelizmente, não entram na lista).

Notícias Sobre Vulnerabilidades no WordPress – Preocupação essa que todos donos de blogs e sites WordPress Precisam estar atentos.

Manter-se atualizado com as vulnerabilidades de segurança no WordPress e em outros CMSs é uma parte importante da segurança. É por isso que estamos analisando plugins do WordPress e vulnerabilidades recentemente divulgadas para garantir que os sites que usam os plugins ou temas mencionados estejam protegidos .

Todas as vulnerabilidades encontradas neste artigo receberam um patch virtual para o firewall WebARX. Isso significa que, se você usar o firewall do aplicativo WebARX, seu site estará protegido contra essas vulnerabilidades, mas é sempre recomendável atualizar ou excluir plugins vulneráveis ​​do site.

Vulnerabilidade crítica corrigida em 301 redirecionamentos – Plugin Easy Redirect Manager

Os redirecionamentos 301 ajudam a gerenciar e criar redirecionamentos 301 e 302 para o seu site WordPress para melhorar a experiência de SEO e visitantes.

Vulnerabilidade: injeção e modificação de redirecionamento arbitrário autenticado, XSS e CSRF Versão vulnerável: 2.40 e inferior Número de sites afetados: mais de 70.000

Os pontos fracos permitem que qualquer usuário autenticado, mesmo assinantes, modifique, exclua e injete regras de redirecionamento que possam resultar em perda de disponibilidade do site, além de XSS e CSRF.

O PoC será exibido em 02 de janeiro de 2020, para que os usuários tenham tempo de atualizar.

XSS refletido autenticado no plug-in CSS Hero

Notícias Sobre Vulnerabilidades no WordPressCaptura de tela de www.csshero.org

CSS Hero é o plug-in definitivo do WordPress para personalizar facilmente a aparência do seu site, com uma interface fácil e intuitiva de apontar e clicar.

Vulnerabilidade: XSS refletido autenticado Versão vulnerável: 4.03 e inferior Número de sites afetados: N / A

O CSS Hero está vulnerável a um ataque XSS refletido (autenticado).

WordPress 5.3 – Script entre sites

WordPress 5.3 - Script entre sites

5.3 expande e aprimora o editor de blocos com interações mais intuitivas e acessibilidade aprimorada. Novos recursos no editor aumentam as liberdades de design, fornecem opções adicionais de layout e variações de estilo para permitir que os designers tenham mais controle sobre a aparência de um site.

Vulnerability: Cross-site scripting (XSS) Versão vulnerável: 5.3 e anterior O número de sites afetados: N / A

Esta versão de segurança e manutenção possui 46 correções e aprimoramentos. Além disso, ele adiciona várias correções de segurança.

Quatro problemas de segurança afetam as versões 5.3 e anteriores do WordPress; a versão 5.3.1 as corrige, então você desejará atualizar. Se você ainda não atualizou para 5.3, também existem versões atualizadas do 5.2 e anteriores que corrigem os problemas de segurança.

  • Adereços para Daniel Bachhuber por encontrar um problema em que um usuário sem privilégios poderia tornar uma postagem persistente por meio da API REST.
  • Adereços para Simon Scannell, da RIPS Technologies, por encontrar e divulgar um problema em que o XSS (cross-site scripting) poderia ser armazenado em links bem criados.
  • Props para a equipe de segurança do WordPress.org wp_kses_bad_protocol() para garantir que ele esteja ciente do atributo de dois pontos nomeado.
  • Adereços para Nguyen O Duc para descobrir uma vulnerabilidade XSS armazenada usando o conteúdo do editor de blocos.

Script entre sites armazenados (XSS) no plugin Scoutnet Kalender

Plugin Scoutnet Kalender

“Scoutnet Kalender” é um plug-in para o WordPress que exibe um ou mais calendários da Scoutnet como um Widget, em uma página ou em um artigo.

Tipo de vulnerabilidade: Cross-Site Scripting (XSS)Versão vulnerável: 1.1.0 Número de sites afetados: 300+

O plug-in não limpa o campo ‘Informações’ dos calendários incorporados (que são recuperados do Scoutnet e não são necessariamente de propriedade / gerenciados pelo administrador do blog).

Ignorar autenticação nos complementos finais para o plugin Elementor

Vulnerabilidades de Plugins

Uma biblioteca de Widgets Elementor exclusivos para adicionar mais funcionalidade e flexibilidade ao seu construtor de páginas favorito.

Tipo de vulnerabilidade: Desvio de autenticação Versão vulnerável: 1.20.0 e inferior Número de sites afetados: N / A

A vulnerabilidade foi corrigida na versão 1.24.1.

Ignorar a autenticação nos complementos finais para o plugin Beaver Builder

Plugin Beaver Builder

Transforme sua produtividade com módulos e modelos personalizados do Beaver Builder.

Tipo de vulnerabilidade: Desvio de autenticação Versão vulnerável: 1.24.0 e abaixo Número de sites afetados: N / A

A vulnerabilidade foi corrigida na versão 1.24.1.

XSS refletido autenticado no plugin de questionário e pesquisa mestre

Plugin de Questionario e Pesquisa Mestre

Você pode criar facilmente pesquisas para seus usuários. Tudo, desde pesquisas de satisfação do cliente até pesquisas de funcionários.

Tipo de vulnerabilidade: XSS refletido autenticado Versão vulnerável: 6.3.5 e inferior Número de sites afetados: mais de 20.000

Conclusão

Sites WordPress estão sendo invadidos e infectados todos os dias. Algumas estatísticas dizem que cerca de 30.000 sites são infectados com algum tipo de Malware diariamente. Todo site público é um recurso disponível na internet e, portanto, é um alvo. É importante entender que, assim que seu site estiver disponível ao público, ele imediatamente se tornará um alvo.

Pode levar apenas alguns dias, de uma vulnerabilidade de plug-in divulgada a uma campanha de ataque em grande escala. Ataques dessa natureza são quase sempre automatizados. Para poder revidar, você tem uma pequena janela de tempo para agir. Nesses casos, os Firewall de aplicativos da Web têm importância crítica .

Sempre mantenha seus Plugins atualizados. Se possível, ative as atualizações automáticas. Se você estiver usando algum dos Plugins mencionados, precisará atualizá-lo com a versão mais recente o mais rápido possível para garantir que as vulnerabilidades de segurança do plug-in do WordPress não afetem seus sites.

O firewall de aplicativo Web WebARX obtém patch virtuais distribuídos automaticamente entre os sites quando as vulnerabilidades são descobertas. A inteligência e a prevenção de ameaças são nosso foco principal e, portanto, nosso mecanismo de firewall é atualizado diariamente.

Fonte: WebarxSecurity

 

…Você poderá gostar:

4.8/5 - (91 votes)

Sobre o autor | Website

Para enviar seu comentário, preencha os campos abaixo:

Deixe um comentário

*

Seja o primeiro a comentar!