Seleccionar p谩gina

Vulnerabilidades WordPress publicadas en Junio 2017

jueves, 20 julio 2017 | Seguridad | 2 Comentarios

Lista de Vulnerabilidades WordPress Junio 2017 detectadas y reportadas en diferentes fuentes o boletines p煤blicos.

Junio ha sido un mes con un aumento algo significativo en vulnerabilidades de plugins comparado con Mayo, donde plugins que afectan a la plataforma de pagos Paypal han sido los m谩s afectados

 

Plugins WordPress vulnerables Junio 2017:

  • Vulnerabilidad de Subida Remota de Archivos (RFI) en Gwolle Guestbook 1.5.3
  • Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en PayPal Digital Downloads
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en PayPal Shopping Cart
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Easy PayPal Gift Certificate
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en PayPal Buy Now Button
  • Vulnerabilidad de divulgaci贸n de informaci贸n en UpiCRM
  • Vulnerabilidad XSS (Reflejada) en Brute Force Login Protection
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Role Scoper 1.3.66
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Ultimate Member 1.3.28
  • Vulnerabilidad de Inyecci贸n SQL en Users Ultra 1.5.50
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Users Ultra 1.5.50
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) y Divulgaci贸n de Informaci贸n en Tribulant Newsletters 4.6.4.2
  • Vulnerabilidad de Inyecci贸n SQL en WordPress Event List <= 0.7.8
  • Vulnerabilidad XSS (Reflejada) en Product Catalog
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Count per Day
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Skype Legacy Buttons
  • Vulnerabilidad de Inyecci贸n SQL en WP-Testimonials < 3.4.1
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Live Chat Support <= 7.0.06
  • Vulnerabilidad de Inyecci贸n SQL en Multi Feed Reader <= 2.2.3
  • Vulnerabilidad XSS (Reflejada) en Spiffy Calendar <= 3.2.0
  • Vulnerabilidad de Inyecci贸n SQL Autenticada en Ultimate Product Catalogue <= 4.2.2
  • Vulnerabilidad XSS (Reflejada) en All-in-One WP Migration <= 6.45
  • Vulnerabilidad de Directorio Traversal Autenticado en Photo Gallery by WD <= 1.3.42
  • Vulnerabilidad XSS (Reflejada) en Download Manager <= 2.9.51
  • Vulnerabilidad de Inyecci贸n SQL Autenticada en WP Jobs <= 1.4
  • Vulnerabilidad XSS de Autenticaci贸n no Reflejada en WP Custom Fields Search
  • Vulnerabilidad de Inyecci贸n SQL en Multi Feed Reader <= 2.2.3
  • Vulnerabilidades m煤ltiples de XSS en Simple Slideshow Manager <= 2.3
  • Vulnerabilidad XSS Autenticada en WP No External Links <= 3.5.17
  • Vulnerabilidad de Inyecci贸n SQL en Tierra Billboard Manager
  • Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Job Manager 1.26.1
  • Vulnerabilidad de Inyecci贸n SQL en FormCraft Basic 1.0.5
  • Vulnerabilidad XSS (Reflejada) en uCare
  • Vulnerabilidad de Divulgaci贸n de Informaci贸n Autenticada en Contact Form 7 Database
  • Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Salon Booking System
  • Vulnerabilidad XSS Persistente en WP Posts Carousel
  • Vulnerabilidad XSS (Reflejada) en Postman SMTP
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Companion Auto Update
  • Vulnerabilidad de Divulgaci贸n de Informaci贸n Autenticada en Save Contact Form 7
  • Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en Contact Form 7 鈥 PayPal Add-on
  • Falsificaci贸n de petici贸n en sitios cruzados (CSRF) y Subida Arbitraria de Archivos en Newsletters

 

Los 10 plugins m谩s atacados durante el mes de Junio han sido:

  1. WP Mobile Detect
  2. WP Symposium
  3. WP e-Commerce Shop Styling
  4. Candidate Application Form
  5. Image Gallery for WPF
  6. Query Html5 File Upload
  7. Woocommerce Product Options
  8. WP Database Backup
  9. Google mp3 Audio Player
  10. Sell Downloads

 

Temas WordPress vulnerables Junio 2017

  • Vulnerabilidad de Escalada de Privilegios en el tema Newspaper 6.4鈥6.7.1

 

Vulnerabilidades del n煤cleo de WordPress Junio 2017

  • Ninguna

Junio fue un mes tranquilo para el n煤cleo del CMS, aunque el pasado 8 de Junio si pudimos disfrutar de la liberaci贸n de WordPress 4.8 como 芦versi贸n mayor禄 que ha tra铆do algunas novedades interesantes.

 

Resumen:

  • Plugins vulnerables: 41
  • Temas vulnerables: 1
  • Vulnerabilidades del n煤cleo: 0
  • Actualizaciones del n煤cleo: 1 芦mayor禄

 

Irse de vacaciones y olvidarse de realizar copias de seguridad manuales, dejar programado un cron para backups autom谩ticos o usar un plugin de backups autom谩ticos en la nube 隆es el peor error que podr铆as cometer!

 
 
 

2 Comentarios

  1. V铆ctor Bustamante (@victorgbusta)

    Me gustar铆a a帽adir que se han encontrado vulnerabilidades en los temas WordPress Rosemary y Lets blog, ambos susceptibles se spam desde los comentarios por haber perdido su atributo 芦nofollow禄, una de ellas en el 谩rea de texto y la otra en el nombre de usuario, respectivamente. Un saludo Luis!! nos vemos por webempresa jejeje.

    Responder
  2. Marisol - catalogo avon

    Muy interesante el tema para tomarlo en cuenta, de raz贸n a diario me llegan muchos Spam, no est谩 dem谩s verificar y comparar nuestro sitio web con estos plugins para evitar inc贸modos comentarios como el Spam en nuestras p谩ginas web. Muy bueno el aporte, se agradece por compartirlo. Felicitaciones y saludos cordiales. Donde me suscribo.

    Responder

Deja un comentario

Entradas relacionadas

A %d blogueros les gusta esto: