Seguimos con el reporte mensual de vulnerabilidades de WordPress.
Pasemos a ver ya el reporte de plugins tanto los que siguen en el repositorio de WordPress y que ya han correjido los problemas… cómo los que se han eliminado
VULNERABILIDADES DE PLUGINS
Galería Nextgen
Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.2.11.
Easy Forms for Mailchimp
Vulnerable a una inyección de código. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 6.5.3.
WP Social Feed Gallery
No tienen las verificaciones de autorización adecuadas. La vulnerabilidad podría permitir a los usuarios de bajo nivel realizar un ataque de falsificación entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.4.8.
Social LikeBox & Feed
Vulnerable a un ataque de scripting y falsificación de solicitudes entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.8.5.
Variation Swatches for WooCommerce
Vulnerable a un ataque de secuencias de comandos de solicitud entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 1.0.62.
WP SVG Icons
Vulnerable a una falsificación de solicitud entre sitios que conduce a un ataque de ejecución remota de código. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.2.3.
Bold Page Builder
Vulnerable a un ataque de gestión de privilegios inadecuados. La vulnerabilidad permite a los usuarios no autenticados realizar tareas que deberían limitarse a los usuarios administradores. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.3.2.
Import Export WordPress Users
Vulnerable a una inyección CSV. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 1.3.2
UserPro
UserPro versión 4.9.33 y siguientes es vulnerable a un ataque de Cross-Site Scripting.
Elimina el complemento hasta que se publique una actualización con un parche.
WP Private Content Plus
Vulnerable a un ataque de cambio de opciones no autenticado. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.0.
A pesar de la actualización, el complemento está cerrado en el repositorio de wp.org pendiente de revisión.
Shapepress DSGVO
Vulnerable a un ataque de Cross-Site Scripting and Forgery. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.2.20.
WooCommerce Product Feed
Vulnerable a un ataque de Cross-Site Scripting. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.1.15.
Pie Register
Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.1.2.
Easy Property Listings
Vulnerable a un ataque de Cross-Site Scripting. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.4.
HandL UTM Grabber
Vulnerable a un ataque de falsificación entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.6.5.
Web Librarian
Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.5.5.
Puedes ver la recopilación de vulnerabilidades anteriores en este enlace: Vulnerabilidades de WordPress
Esta información la reporta iThemes Security en su blog.
Cómo siempre, mi recomendación es que actualices los plugins, temas y core de tu instalación para mantenerlos al día… y si estás usando alguno de los plugins reportados en esta lista de vulnerabilidades de julio, te tomes un tiempo y actualices ya mismo el plugin o plugins en cuestión.
Desde CreativaGrafica podemos ofrecerte un plan de mantenimiento para tu web wordpress, así cómo mantenimiento para ecommerce.