24Sep, 2021
0
Reporte sobre alertas de seguridad y vulnerabilidades en Wordpress

VULNERABILIDADES EN WORDPRESS – EDICIÓN SEPTIEMBRE 2021 PARTE 3

La principal razón por la cuál sitios desarrollados en WordPress son hackeados es debido a vulnerabilidades en las plugins, temas y el mismo core. El siguiente reporte trata de cubrir la mayor cantidad de plugins y/o temas reportados a WPScan.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja, Media, Alta o Crítica. Te recomendamos tomar las medidas necesarias para mantener tu sitio desarrollado en WP lo más seguro posible, si requieres asistencia puedes contactar a uno de nuestros técnicos para que te asesoren al respecto.

 

 

 

 

     

    Vulnerabilidades principales de WordPress

    Se revelaron y solucionaron varios problemas de seguridad centrales de WordPress. WordPress 5.8.1 fue lanzado como una versión de seguridad y mantenimiento. Como una mejor práctica, ¡asegúrese siempre de ejecutar la última versión de WordPress!

     

    1.- WordPress 5.4 a 5.8 – Urgencia: Media.

    Vulnerabilidad tipo Data Exposure via REST API. 
    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 5.8.1.

     

    WordPress 5.4 a 5.8 – Urgencia: Media.

    Vulnerabilidad tipo Authenticated XSS in Block Editor.
    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 5.8.1. 

     

    WordPress 5.4 a 5.8 – Urgencia: Media.

    Vulnerabilidad tipo Lodash Library Update.
    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 5.8.1.

     

    Vulnerabilidades de Plugins en WordPress

    En esta sección, las últimas vulnerabilidades plugin de WordPress se han revelado. Cada lista de plugins incluye el tipo de vulnerabilidad, el número de versión si se parcheó y la clasificación de gravedad.

     

    1.- Pinterest Automatic – Urgencia: Crítica.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated Arbitrary Options Update.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.14.4.

     

     

    2.- WordPress Automatic – Urgencia: Crítica.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated Arbitrary Options Update.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.53.3.

     

     

    3.- ELEX WooCommerce Google Shopping – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting (XSS).

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.4.

     

     

    4.- User Registration – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Low Privilege Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.2.

     

     

    5.- uListing – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Arbitrary Blog Option Update via CSRF.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.9.

     

     

    6.- Appointment Hour Booking – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.3.16.

     

    Appointment Hour Booking – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored XSS.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.3.17.

     

     

    7.- UsersWP – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.2.29.

     

     

    8.- PublishPress Editorial Calendar – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.5.1.

     

     

    9.- Better Find and Replace – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.9.

     

     

    10.- CM Tooltip Glossary – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Contributor+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 3.9.21.

     

     

    11.- Bitcoin / AltCoin Payment Gateway for WooCommerce – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.6.1.

     

     

    12.- Modern Events Calendar Lite – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 5.22.2.

     

     

    13.- My Chatbot – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting (XSS).

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    14.- Duplicate Page – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.4.3.

     

     

    15.- Weather Effect – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.3.6.

     

    Weather Effect – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo CSRF to Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.3.4.

     

     

    16.- Chained Quiz – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored Cross Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 1.2.7.2.

     

    17.- WP Academic People List – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    18.- Konnichiwa! Membership – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    19.- 3D Cover Carosel – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    20.-More From Google – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    21.- simpleSAMLphp Authentication – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    22.- Custom Menu Plugin – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    23.- Twitter Friends Widget – Urgencia: Media

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    24.-RentPress – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    25.- SP Rental Manager – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Unauthenticated SQL Injection.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    26.- User Activation Email – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    27.- WP Google Maps – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Multiple Admin+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 8.1.13.

     

     

    28.- GeoDirectory – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated (admin+) Stored Cross-Site Scripting (XSS).

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.1.1.3.

     

     

    29.- TranslatePress – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.9.

     

     

    30.- Post Title Counter – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    31.- YouTube Video Inserter – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    32.- Notices – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    33.-DJ EmailPublish – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    34.- Yet Another bol.com Plugin – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    35.- WP-T-Wap – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    36.- On Page SEO + Whatsapp Chat Button – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    37.- WP Scrippets – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    38.- WP Design Maps & Places – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    39.- Wise Agent Capture Forms – Urgencia: Media

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    40.- Edit Comments XT – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    41.- RSVPMaker Excel – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    42.- Border Loading Bar – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    43.- Simple Matted Thumbnails – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    44.- WordPress Simple Shop – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    45.- WooCommerce Payment Gateway Per Category – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    46.- Custom Website Data – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    47.- Advance Search – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    48.- Integration of Moneybird for WooCommerce – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    49.- Spideranalyse – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    50.- OSD Subscribe – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    51.- Feedify Web Push Notifications – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    52.- Dropdown and scrollable Text – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    53.- GNU- Mailman Integration – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    54.- Bug Library – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    55.- SMS OVH – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    56.- MoolaMojo – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    57.- WordPress InviteBox Plugin – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    58.- wp-publications – Urgencia: Alta.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Local File Inclusion.

    La vulnerabilidad no ha sido parchada, recomendamos desinstalar y eliminar la plugin hasta que una actualización haya sido liberada.

     

    59.- Timetable and Event Schedule by MotoPress – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Author+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.3.19.

     

    60.- Comment Link Remove and Other Comment Tools – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Arbitrary Comment Deletion via CSRF.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.1.6.

     

    61.- WP Simple Booking Calendar – Urgencia: Media

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated SQL Injection.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.6.

     

    62.- Block and Stop Bad Bots – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated SQL Injections.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 6.60.

     

    63.- Paid Member Subscriptions – Urgencia: Media.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Authenticated SQL Injections.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.4.2.

     

    64.- Easy Accordion – Urgencia: Baja.

    Ésta plugin de #WordPress tiene una vulnerabilidad tipo Admin+ Stored Cross-Site Scripting.

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 2.0.22.

     

    Vulnerabilidades en temas de WordPress.

    1.- Enfold – Urgencia: Media.

    Este tema de #WordPress tiene una vulnerabilidad tipo Reflected Cross-Site Scripting (XSS).

    La vulnerabilidad ha sido parchada, recomendamos actualizar la versión 4.8.4.

     

    Ésta lista de vulnerabilidades en WordPress ha sido publicada como un servicio de cortesía para todos aquellos interesados en la seguridad de sus sitios web desarrollados bajo WP. En SuEspacio.net brindamos el servicio de alojamiento para sitios desarrollados en WordPress y también el soporte técnico necesario para su correcto funcionamiento.

    Traducción: Evelyn Ramírez GarcíaArtículo original

     

    Comments are closed.

    ©2019 - 2022 SuEspacio.net México - Precios expresados en pesos mexicanos con IVA incluído. Terminos y Condiciones relativos al servicio. Todos los logotipos y marcas son propiedad de sus respectivos dueños.