Вразливості у плагінах WordPress за лютий 2020

автор Дмитро Кондрюк

21.02.2020

0

За цей місяць було виявлено кілька нових уразливостей у плагінах для WordPress. За підтримки спеціалістів проекту “Хостинг WordPress” ми створили досить великий список, а найцікавіше, що серед вказаних плагінів є багато популярних, що використовуються на сотнях тисяч сайтів.

Не забувайте оновлювати свої плагіни до актуальних версій своєчасно, аби не стати жертвою неприємних ситуацій.

Elementor Page Builder версії 2.8.4 і пізнішої має вразливість  XSS, що дозволяє зловмиснику підключити на сайт сторонній код.

Strong Testimonials версій 2.40.0 і новіших мають вразливість , що дозволяє виконання Cross-Site сценаріїв.

Версії до 1.1.2 плагіну Portfolio Gallery мають вразливість, що може призвести до атаки XSS

Плагін Tutor LMS версії 1.5.2 і нижче вразливий до атак типу Cross-Site.

Login by Auth0 версії 3.11.2 і пізнішої вразливий до аналогічного типу атаки XSS, що вже нам зустрічалась в новинах .

Htaccess від BestWebSoft має слабкість до Cross-Site атаки , яка може привести до можливості редагування вашого файлу .htaccess.

Плагін було видалено з репозиторію WordPress – тож і Вам рекомендуємо видалити зі свого сайту!

Версії плагіну Ultimate Membership Pro нижче 8.6.1 мають декілька вразливих місць, які можуть призвести до того, що зловмисник зможе виконати сторонній код на вашому сайті.

Events Manager версій нижче 5.9.7.2 та Events Manager Pro версії 2.6.7.2 має вразливість CSV.

Profile Builder та Profile Builder Pro версій нижче 3.1.1 мають вразливість в механізмі автентифікації, що дозволяє користувачам зареєструвати або відредагувати свій акаунт та отримати роль адміністратора.

Participants Database версії 1.9.5.5 і вище вразливий для атаки SQL Injection .

GDPR Cookie Consent версії 1.8.2 і пізніше має вразливість, яка може дозволити користувачеві з низьким рівнем доступу змінити статус публікації або сторінки і може призвести до атаки через виконання міжсайтового сценарію .

Дмитро Кондрюк

Автор публікації Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Є що відповісти?

Ваш email не буде публікуватися

Можна скористатися такими тегами в тексті:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>