Seleccionar página

Vulnerabilidades WordPress publicadas en Junio 2017

jueves, 20 julio 2017 | Seguridad | 2 Comentarios

Lista de Vulnerabilidades WordPress Junio 2017 detectadas y reportadas en diferentes fuentes o boletines públicos.

Junio ha sido un mes con un aumento algo significativo en vulnerabilidades de plugins comparado con Mayo, donde plugins que afectan a la plataforma de pagos Paypal han sido los más afectados

 

Plugins WordPress vulnerables Junio 2017:

  • Vulnerabilidad de Subida Remota de Archivos (RFI) en Gwolle Guestbook 1.5.3
  • Falsificación de petición en sitios cruzados (CSRF) en PayPal Digital Downloads
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en PayPal Shopping Cart
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Easy PayPal Gift Certificate
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en PayPal Buy Now Button
  • Vulnerabilidad de divulgación de información en UpiCRM
  • Vulnerabilidad XSS (Reflejada) en Brute Force Login Protection
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Role Scoper 1.3.66
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Ultimate Member 1.3.28
  • Vulnerabilidad de Inyección SQL en Users Ultra 1.5.50
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Users Ultra 1.5.50
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) y Divulgación de Información en Tribulant Newsletters 4.6.4.2
  • Vulnerabilidad de Inyección SQL en WordPress Event List <= 0.7.8
  • Vulnerabilidad XSS (Reflejada) en Product Catalog
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Count per Day
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Skype Legacy Buttons
  • Vulnerabilidad de Inyección SQL en WP-Testimonials < 3.4.1
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Live Chat Support <= 7.0.06
  • Vulnerabilidad de Inyección SQL en Multi Feed Reader <= 2.2.3
  • Vulnerabilidad XSS (Reflejada) en Spiffy Calendar <= 3.2.0
  • Vulnerabilidad de Inyección SQL Autenticada en Ultimate Product Catalogue <= 4.2.2
  • Vulnerabilidad XSS (Reflejada) en All-in-One WP Migration <= 6.45
  • Vulnerabilidad de Directorio Traversal Autenticado en Photo Gallery by WD <= 1.3.42
  • Vulnerabilidad XSS (Reflejada) en Download Manager <= 2.9.51
  • Vulnerabilidad de Inyección SQL Autenticada en WP Jobs <= 1.4
  • Vulnerabilidad XSS de Autenticación no Reflejada en WP Custom Fields Search
  • Vulnerabilidad de Inyección SQL en Multi Feed Reader <= 2.2.3
  • Vulnerabilidades múltiples de XSS en Simple Slideshow Manager <= 2.3
  • Vulnerabilidad XSS Autenticada en WP No External Links <= 3.5.17
  • Vulnerabilidad de Inyección SQL en Tierra Billboard Manager
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Job Manager 1.26.1
  • Vulnerabilidad de Inyección SQL en FormCraft Basic 1.0.5
  • Vulnerabilidad XSS (Reflejada) en uCare
  • Vulnerabilidad de Divulgación de Información Autenticada en Contact Form 7 Database
  • Falsificación de petición en sitios cruzados (CSRF) en Salon Booking System
  • Vulnerabilidad XSS Persistente en WP Posts Carousel
  • Vulnerabilidad XSS (Reflejada) en Postman SMTP
  • Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Companion Auto Update
  • Vulnerabilidad de Divulgación de Información Autenticada en Save Contact Form 7
  • Falsificación de petición en sitios cruzados (CSRF) en Contact Form 7 – PayPal Add-on
  • Falsificación de petición en sitios cruzados (CSRF) y Subida Arbitraria de Archivos en Newsletters

 

Los 10 plugins más atacados durante el mes de Junio han sido:

  1. WP Mobile Detect
  2. WP Symposium
  3. WP e-Commerce Shop Styling
  4. Candidate Application Form
  5. Image Gallery for WPF
  6. Query Html5 File Upload
  7. Woocommerce Product Options
  8. WP Database Backup
  9. Google mp3 Audio Player
  10. Sell Downloads

 

Temas WordPress vulnerables Junio 2017

  • Vulnerabilidad de Escalada de Privilegios en el tema Newspaper 6.4–6.7.1

 

Vulnerabilidades del núcleo de WordPress Junio 2017

  • Ninguna

Junio fue un mes tranquilo para el núcleo del CMS, aunque el pasado 8 de Junio si pudimos disfrutar de la liberación de WordPress 4.8 como «versión mayor» que ha traído algunas novedades interesantes.

 

Resumen:

  • Plugins vulnerables: 41
  • Temas vulnerables: 1
  • Vulnerabilidades del núcleo: 0
  • Actualizaciones del núcleo: 1 «mayor»

 

Irse de vacaciones y olvidarse de realizar copias de seguridad manuales, dejar programado un cron para backups automáticos o usar un plugin de backups automáticos en la nube ¡es el peor error que podrías cometer!

 
 
 

2 Comentarios

  1. Víctor Bustamante (@victorgbusta)

    Me gustaría añadir que se han encontrado vulnerabilidades en los temas WordPress Rosemary y Lets blog, ambos susceptibles se spam desde los comentarios por haber perdido su atributo «nofollow», una de ellas en el área de texto y la otra en el nombre de usuario, respectivamente. Un saludo Luis!! nos vemos por webempresa jejeje.

    Responder
  2. Marisol - catalogo avon

    Muy interesante el tema para tomarlo en cuenta, de razón a diario me llegan muchos Spam, no está demás verificar y comparar nuestro sitio web con estos plugins para evitar incómodos comentarios como el Spam en nuestras páginas web. Muy bueno el aporte, se agradece por compartirlo. Felicitaciones y saludos cordiales. Donde me suscribo.

    Responder

Deja un comentario

Entradas relacionadas

A %d blogueros les gusta esto: