За цей місяць було виявлено кілька нових уразливостей у плагінах для WordPress. За підтримки спеціалістів проекту “Хостинг WordPress” ми створили досить великий список, а найцікавіше, що серед вказаних плагінів є багато популярних, що використовуються на сотнях тисяч сайтів.
Не забувайте оновлювати свої плагіни до актуальних версій своєчасно, аби не стати жертвою неприємних ситуацій.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/elementor-page-builder-720x230.jpg)
Elementor Page Builder версії 2.8.4 і пізнішої має вразливість XSS, що дозволяє зловмиснику підключити на сайт сторонній код.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/strong-testimonials-720x230.jpg)
Strong Testimonials версій 2.40.0 і новіших мають вразливість , що дозволяє виконання Cross-Site сценаріїв.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/portfolio-gallery-720x230.jpg)
Версії до 1.1.2 плагіну Portfolio Gallery мають вразливість, що може призвести до атаки XSS
![](https://wordpress.co.ua/wp-content/uploads/2020/02/tutor-lms-720x230.jpg)
Плагін Tutor LMS версії 1.5.2 і нижче вразливий до атак типу Cross-Site.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/login-by-auth0-720x230.jpg)
Login by Auth0 версії 3.11.2 і пізнішої вразливий до аналогічного типу атаки XSS, що вже нам зустрічалась в новинах .
![](https://wordpress.co.ua/wp-content/uploads/2018/08/wordpress-security.jpg)
Htaccess від BestWebSoft має слабкість до Cross-Site атаки , яка може привести до можливості редагування вашого файлу .htaccess.
Плагін було видалено з репозиторію WordPress – тож і Вам рекомендуємо видалити зі свого сайту!
![](https://wordpress.co.ua/wp-content/uploads/2020/02/ultimate-membership-pro.jpg)
Версії плагіну Ultimate Membership Pro нижче 8.6.1 мають декілька вразливих місць, які можуть призвести до того, що зловмисник зможе виконати сторонній код на вашому сайті.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/events-manager-720x230.jpg)
Events Manager версій нижче 5.9.7.2 та Events Manager Pro версії 2.6.7.2 має вразливість CSV.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/user-registration-user-profile-720x230.jpg)
Profile Builder та Profile Builder Pro версій нижче 3.1.1 мають вразливість в механізмі автентифікації, що дозволяє користувачам зареєструвати або відредагувати свій акаунт та отримати роль адміністратора.
![](https://wordpress.co.ua/wp-content/uploads/2020/02/participants-database-720x230.jpg)
Participants Database версії 1.9.5.5 і вище вразливий для атаки SQL Injection .
![](https://wordpress.co.ua/wp-content/uploads/2020/02/gdpr-cookie-consent-720x230.jpg)
GDPR Cookie Consent версії 1.8.2 і пізніше має вразливість, яка може дозволити користувачеві з низьким рівнем доступу змінити статус публікації або сторінки і може призвести до атаки через виконання міжсайтового сценарію .