13Sep, 2021
0
Alerta de seguridad para Wordpress

VULNERABILIDADES EN WORDPRESS – EDICIÓN SEPTIEMBRE 2021 PARTE 2

La principal razón por la cuál sitios desarrollados en WordPress son hackeados es debido a vulnerabilidades en las plugins, temas y el mismo core. El siguiente reporte trata de cubrir la mayor cantidad de plugins y/o temas reportados a WPScan.

 

Cada vulnerabilidad tiene una clasificación de urgencia: baja, media, alta y crítica. Te recomendamos tomar las medidas necesarias para mantener tu sitio desarrollado en WP lo más seguro posible, si requieres asistencia puedes contactar a uno de nuestros técnicos para que te asesoren al respecto.

 

 

 

1.- Countdown Block – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Missing Authorisation in AJAX action. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.1.2.

 

 

2.- User Activity Log – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting via Query String. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.4.7.

 

User Activity Log – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.4.7.

 

3.- Cookies Notice & Compliance for GDPR / CCPA – Urgencia: Baja.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.1.2.

 

4.- TanslatePress – Urgencia: Baja.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.9.

 

5.- WP Statistic – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting (XSS).

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 13.1.

 

6.-CoolClock – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Contributor+ Stored Cross-Site Scripting. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.3.5.

 

 

7.- Multiple Plugins from miniorange – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting via appld.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 6.20.3.

 

8.- Premium Addons for Elementor – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Subscriber+ Arbitrary Blog Option Update.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.5.2.

 

9.- Docket Cache – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 21.08.02.

 

10.- WooCommerce Zoho Integration – CRM, Books, Invoice, Inventory.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.4.

 

11.- Integration for WooCommerce and QuickBooks – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.1.9.

 

12.- Gravity Forms Salesforce – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.6.

 

13.- Gravity Forms Zoho CRM Add-on – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.1.6.

 

14.- Gravity Forms HubSpot – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.9.

 

15.- WooCommerce Salesforce Integration – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.5.9.

 

16.-Gravity Forms Zendesk – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.8.

 

17.- WP Infusionsoft WooCommerce Plugin – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.9.

 

18.- Integration for Contact Form 7 and ActiveCampaign – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.4.

 

19.- Integration for HubSpot and WooCommerce – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.5.

 

20.- Gravity Forms FreshDesk Plugin – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.9.

 

21.- Gravity Forms Dynamics CRM – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.8.

 

22.- Gravity Forms Constant Contact Plugin – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.6.

 

23.- Integration for Gravity Forms and Pipedrive – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.7.

 

24.- WP Gravity Forms Insightly – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Plugins from CRM Perks – Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.0.7.

 

25.- WordPress Uninstall – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo WordPress Deletion va CSRF.

La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

 

26.- CF Geo Plugin – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 7.13.12.

 

27.- underConstruction – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.19.

 

28.- DZS Zoomsounds – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated Arbitrary File Download.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 6.50.

 

29.- WooCommerce Dynamic Pricing & Discounts – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated Settings Import to Stored XSS.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.4.2.

 

WooCommerce Dynamic Pricing & Discounts – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated Settings Export.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.4.2.

 

30.- Software License Manager – Urgencia: Baja. 

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.5.0.

 

31.-Timetable and Event Schedule by MotoPress – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Author+ Stored Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.3.19.

 

32.- Easy Social Icons – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.1.0.

 

33.- Donate With QRCode – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Stored Cross-Site Scripting.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.4.5.

Donate With QRCode – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Plugin’s Setting Update via CSRF.

La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

 

34.- XO Event Calendar – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.  

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.3.7.

 

35.- Watu Quizz – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected XSS via question-form.html.php

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.1.2.6.

 

36.- Gutenberg Template Library & Redux Framework – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Contributor+ Arbitrary Plugin Installation and Post Deletion.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.2.13.

 

37.- Meow Gallery – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthorised Arbitrary Options Update via REST API.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.2.0.

Meow Gallery – Urgencia: Alta.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Contributor+ SQL Injection.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.1.9.

 

38.- WP Mapa Politico Espana – Urgencia: Baja.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored Cross-Site Scripting. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.7.0.

 

39.- WP Upload Restriction – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Missing Access Control in.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.2.5.

WP Upload Restriction – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Missing Access Control in deleteCustom Type. 

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.2.5.

WP Upload Restriction – Urgencia: Media.

Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored XSS.

La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.2.5.

 

Vulnerabilidades de Temas en WordPress

Para este reporte no se han revelado nuevas vulnerabilidades en temas de WordPress.

 

Ésta lista de vulnerabilidades en WordPress ha sido publicada como un servicio de cortesía para todos aquellos interesados en la seguridad de sus sitios web desarrollados bajo WP. En SuEspacio.net brindamos el servicio de alojamiento para sitios desarrollados en WordPress y también el soporte técnico necesario para su correcto funcionamiento.

 

Traducción: Evelyn Ramírez García – Artículo Original

 

Comments are closed.

©2019 - 2022 SuEspacio.net México - Precios expresados en pesos mexicanos con IVA incluído. Terminos y Condiciones relativos al servicio. Todos los logotipos y marcas son propiedad de sus respectivos dueños.