Lista de Vulnerabilidades WordPress Julio 2017 detectadas y reportadas en diferentes fuentes o boletines públicos.
Esta lista no solo recoge las vulnerabilidades descubiertas durante el mes de Julio y que ya han sido solucionadas, también se cita alguna vulnerabilidad que sigue siendo persistente y no ha sido corregida, como es el caso de Product Reviews (Etoile Web Design) para WooCommerce, por lo que deberías evitar el uso de este plugin mientras no sea liberada una nueva versión superior a la 2.0.18 actualmente vulnerable.
El objetivo de esta publicación es informar a usuarios finales e implementadores de sitios WordPress para que estén siempre atentos a las vulnerabilidades de determinados plugins que puedan acabar dejando inoperativos los sitios donde sean utilizados, y de paso un aviso a desarrolladores (si es que alguno lo lee) ヅ.
Índice de Contenidos
Plugins WordPress vulnerables Julio 2017
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en WordPress Gallery 4.2.1
- Vulnerabilidad de Inyección SQL y Falsificación de petición en Sitios Cruzados (CSRF) en Photo Gallery
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Google Captcha 1.05
- Vulnerabilidad de Inyección SQL en Better Search
- Vulnerabilidad de Falsificación de Petición en Sitios Cruzados (CSRF) en Email Queue 1.0.0
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en BestWebSoft Google Maps 1.2.1
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Google +1 1.1.6
- Vulnerabilidad de Almacenamiento de Secuencias de Comandos entre Sitios Reflejada (XSS) en WP Statistics <= 12.0.8.1
- Vulnerabilidad de Inyección SQL Autenticada en WP Statistics <= 12.0.7
- Vulnerabilidad XSS Autenticada en WP Statistics <= 12.0.9
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Responsive Lightbox Plugin
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en WordPress Download Manager <= 2.9.49
- Vulnerabilidad de Navegación no Autenticada a una URL sin Validación previa en WordPress Download Manager <= 2.9.50
- Vulnerabilidad de Falsificación de Petición en Sitios Cruzados (CSRF) y de Cambio de Configuración en YouTube Embed <= 11.8.1
- Vulnerabilidad XSS Autenticada en WP-Members Membership Framework <= 3.1.7
- Vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en y de Falsificación de Petición en Sitios Cruzados (CSRF) Paid Memberships Pro
- Vulnerabilidad de Traversalización de Directorio Autenticada en Shortcodes Ultimate <= 4.9.9
- Vulnerabilidad de Inyección SQL Autenticada en DSubscribers <= 1.2
- Vulnerabilidad XSS Autenticada y de Falsificación de Petición en Sitios Cruzados (CSRF) en Responsive Lightbox by dFactory <= 1.7.1
- Vulnerabilidad de Subida Arbitraria de Archivos en WP Hide & Security Enhancer <= 1.3.9.2
- Vulnerabilidad de Falsificación de Petición en Sitios Cruzados (CSRF) y de Almacenamiento de secuencias de comandos entre sitios (XSS) en Arabic Webfonts
- Vulnerabilidad XSS Reflejada en Vospari Forms <= 1.3
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Contact Form To DB 1.4.0
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en WP Donate 2.0.1
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Facebook Like Button 2.32
- Vulnerabilidad de Falsificación de petición en sitios cruzados (CSRF) en Sender by BestWebSoft
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en PDF And Print 1.7.4
- Vulnerabilidad XSS (Reflejada) en Simple Custom CSS and JS
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Portfolio 2.27
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Quotes And Tips 1.19
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Relevant Related Posts 1.0.7
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Social Essentials Social Stats And Sharing Buttons 1.3.1
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) y de Falsificación de Petición en Sitios Cruzados (CSRF) en CevherShare
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en Popup Maker Reflected
- Vulnerabilidad XSS Reflejada en WP Live Chat Support <= 7.1.05
- Vulnerabilidad XSS (Reflejada) en WP Mail Reflected
- Vulnerabilidad de secuencias de comandos de Sitios Cruzados (XSS) en OptiMonk
- Vulnerabilidad de Inclusión de Archivos Locales Autenticados (LFI) en WP Rocket <= 2.10.3
- Vulnerabilidad XSS Autenticada en Task Manager Pro <= 1.3.1
- Vulnerabilidad XSS Autenticada y de Inyección SQL en IBPS Online Exam <= 1.0
- Vulnerabilidad XSS Autenticada en AffiliateWP <= 2.0.9
- Vulnerabilidad de Subida Arbitraria de Archivos en WP Hide & Security Enhancer <= 1.3.9.2
- Vulnerabilidad de Subida Arbitraria de Archivos en WooCommerce Catalog Enquiry
- Vulnerabilidad XSS Autenticada en Event Calendar WD <= 1.0.93
Otros Plugins que aún no han resuelto sus vulnerabilidades
Estos plugins fueron vulnerables en meses anteriores y hasta la fecha no han parcheado dicha vulnerabilidad, y siguen siendo vulnerables, por lo que la recomendación es utilizarlos en entornos debidamente hardenizados o mejor aún no usarlos hasta nuevas versiones.
- Vulnerabilidad XSS (Reflejada) en WebLibrarian <= 3.4.8.7
- Falsificación de petición en sitios cruzados (CSRF) Share Buttons by AddThis
- Vulnerabilidad XSS (Reflejada) en Contact Form 7 International SMS Integration
- Vulnerabilidad XSS Persistente en Post Custom Templates Lite <= 1.7
Temas WordPress vulnerables Julio 2017
- Ninguno
Vulnerabilidades del núcleo de WordPress Julio 2017
- Ninguna
Resumen:
- Plugins vulnerables: 44
- Temas vulnerables: 0
- Vulnerabilidades del núcleo: 0
- Actualizaciones del núcleo: 0
Es un buen momento para recomendarte hacer siempre copias de seguridad de tus sitios WordPress, y si te es posible «almacenarlas en la nube» ya que es la mejor garantía para recuperarte rápidamente de cualquier desastre. ¡Feliz Verano!
0 comentarios