WORDPRESS: Vulnerabilidades de Julio 2019

A VPN is an essential component of IT security, whether you’re just starting a business or are already up and running. Most business interactions and transactions happen online and VPN
Imagen vulnerabilidades

Estrenábamos en junio el reporte de vulnerabilidades en WordPress , gracias a la información que aporta iThemes Security.

Seguimos con el listado de vulnerabilidades. Pasemos a ver ya el reporte de plugins tanto los que siguen en el repositorio de WordPress y que ya han correjido los problemas… cómo los que se han eliminado

En esta ocasión les ha tocado a alguno de los ‘grandes’ de WordPress, y la lista es larga.

VULNERABILIDADES DE PLUGINS

wp-like-button

Plugin para hacer el like de facebook.

Detectado un ‘athentication bypass attack’. Eliminalo ya!

Yoast SEO

Vulnerabilidad resuelta ante un ataque de autentificación XSS.

Si no lo has hecho aún, actualiza cuanto antes!!

WooCommerce

La popular herramienta de comercio electrónico para WordPress, corrije en su reciente actualización, unos problemas serios de seguridad:

Corrije una vulnerabilidad en la comprovación del tipo de archivo y una vulnerabilidad de falsificación de petición en sitios cruzados

Ad Inserter

Complemento de gestión de anuncios. Incluye funciones avanzadas para insertar anuncios en posiciones definidas.

La última versión corrije un ataque de autenticación de ruta transversal; La vulnerabilidad permitia acceder a directorios que no estaban dentro de la zona restringida para este uso.

Ocean Extra

Ocean Extra añade funciones adicionales al tema OceanWP: widgets, metaboxes, activar / desactivar las secciones del personalizador, habilitar / deshabilitar scripts y estilos del tema.

La versión 1.5.9 corrije la vulnerable a un cambio de configuración no autenticado e inyección de CSS. La vulnerabilidad permitirá a un atacante cambiar algunas configuraciones de WordPress e inyectar CSS para dañar el sitio.

WP Statistics

Herramienta sencilla de estadísticas para tu web. Con gráficos y estadísticas visuales, Reconocimiento del país del visitante, Reconocimiento de la ciudad del visitante, número de visitantes procedentes de cada motor de búsqueda, etc.

La versión 12.6.7 corrije la vulnerabilidad inyección de SQL ciega

Visitors Traffic Real Time Statistics

Complemento de estadísticas y tráfico para WordPress. Este complemento sirve para realizar un seguimiento de visitantes, navegadores, sistemas operativos, visitas, etc.

Corrije una vulnerabilidad de falsificación de petición en sitios cruzados

Essential Real Estate

Permite administrar listados de propiedades y enviar propiedades a través de back-end y front-end. Pago global, construcción de mercado, gestión de agentes, etc.

Con la versión 1.7.2, se corrije una vulnerabilidad cross-site scripting.

Appointment Booking Calendar

Complemento para citas/reservas en línea de intervalos de tiempo disponibles en un calendario.

Con la versión 1.3.19, se corrije una vulnerabilidad cross-site scripting.

Gallery PhotoBlocks

Galería de fotos e imágenes con bordes justificados. Zoom de las imágenes estilo caja de luz. Permite agregar efectos a la galería en modo cuadrícula.

La versión 1.1.41, se corrije una vulnerabilidad cross-site scripting.

Slimstat Analytics

Seguimiento de los clientes usuarios registrados, eventos de Javascript, intrusiones, campañas de correo electrónico…

La versión 4.8.4 corrije una vulnerabilidad de falsificación de petición en sitios cruzados

WP Google Maps

Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Actualiza a la nueva versión del plugin.

LiveChat

Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Actualiza cuanto antes.

WP Like Button

Vulnerable a Authentication Bypass attack.

WordPress ha eliminado el complemento de su repositorio, así que elimínalo cuanto antes y busca un reemplazo.

File Manager

Según reporta WebARX, si se explotan las vulnerabilidades del plugin, cualquier usuario conectado podrá ver, eliminar o descargar copias de seguridad… pudiendo encontrar información confidencial que podría acarrear problemas adicionales.

La vulnerabilidad ha sido parcheada y debes actualizar a la versión 5.2.

Ultimate Member

Es vulnerable a a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Esta información la reporta iThemes Security en su blog.

Cómo siempre, mi recomendación es que actualices los plugins, temas y core de tu instalación para mantenerlos al día… y si estás usando alguno de los plugins reportados en esta lista de vulnerabilidades de julio, te tomes un tiempo y actualices ya mismo el plugin o plugins en cuestión.

Desde CreativaGrafica podemos ofrecerte un plan de mantenimiento para tu web wordpress, así cómo mantenimiento para ecommerce.

Picture of Creativa Grafica

Creativa Grafica

Valoración
5/5

Sign up for our Newsletter

Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit

Ir al contenido