Lista de Vulnerabilidades WordPress Junio 2017 detectadas y reportadas en diferentes fuentes o boletines públicos.
Junio ha sido un mes con un aumento algo significativo en vulnerabilidades de plugins comparado con Mayo, donde plugins que afectan a la plataforma de pagos Paypal han sido los más afectados
Índice de Contenidos
Plugins WordPress vulnerables Junio 2017:
- Vulnerabilidad de Subida Remota de Archivos (RFI) en Gwolle Guestbook 1.5.3
- Falsificación de petición en sitios cruzados (CSRF) en PayPal Digital Downloads
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en PayPal Shopping Cart
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Easy PayPal Gift Certificate
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en PayPal Buy Now Button
- Vulnerabilidad de divulgación de información en UpiCRM
- Vulnerabilidad XSS (Reflejada) en Brute Force Login Protection
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Role Scoper 1.3.66
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Ultimate Member 1.3.28
- Vulnerabilidad de Inyección SQL en Users Ultra 1.5.50
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en Users Ultra 1.5.50
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) y Divulgación de Información en Tribulant Newsletters 4.6.4.2
- Vulnerabilidad de Inyección SQL en WordPress Event List <= 0.7.8
- Vulnerabilidad XSS (Reflejada) en Product Catalog
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Count per Day
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Skype Legacy Buttons
- Vulnerabilidad de Inyección SQL en WP-Testimonials < 3.4.1
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Live Chat Support <= 7.0.06
- Vulnerabilidad de Inyección SQL en Multi Feed Reader <= 2.2.3
- Vulnerabilidad XSS (Reflejada) en Spiffy Calendar <= 3.2.0
- Vulnerabilidad de Inyección SQL Autenticada en Ultimate Product Catalogue <= 4.2.2
- Vulnerabilidad XSS (Reflejada) en All-in-One WP Migration <= 6.45
- Vulnerabilidad de Directorio Traversal Autenticado en Photo Gallery by WD <= 1.3.42
- Vulnerabilidad XSS (Reflejada) en Download Manager <= 2.9.51
- Vulnerabilidad de Inyección SQL Autenticada en WP Jobs <= 1.4
- Vulnerabilidad XSS de Autenticación no Reflejada en WP Custom Fields Search
- Vulnerabilidad de Inyección SQL en Multi Feed Reader <= 2.2.3
- Vulnerabilidades múltiples de XSS en Simple Slideshow Manager <= 2.3
- Vulnerabilidad XSS Autenticada en WP No External Links <= 3.5.17
- Vulnerabilidad de Inyección SQL en Tierra Billboard Manager
- Vulnerabilidad de Almacenamiento de secuencias de comandos entre sitios (XSS) en WP Job Manager 1.26.1
- Vulnerabilidad de Inyección SQL en FormCraft Basic 1.0.5
- Vulnerabilidad XSS (Reflejada) en uCare
- Vulnerabilidad de Divulgación de Información Autenticada en Contact Form 7 Database
- Falsificación de petición en sitios cruzados (CSRF) en Salon Booking System
- Vulnerabilidad XSS Persistente en WP Posts Carousel
- Vulnerabilidad XSS (Reflejada) en Postman SMTP
- Vulnerabilidad XSS no Autenticado y Falsificación de petición en sitios cruzados (CSRF) en Companion Auto Update
- Vulnerabilidad de Divulgación de Información Autenticada en Save Contact Form 7
- Falsificación de petición en sitios cruzados (CSRF) en Contact Form 7 – PayPal Add-on
- Falsificación de petición en sitios cruzados (CSRF) y Subida Arbitraria de Archivos en Newsletters
Los 10 plugins más atacados durante el mes de Junio han sido:
- WP Mobile Detect
- WP Symposium
- WP e-Commerce Shop Styling
- Candidate Application Form
- Image Gallery for WPF
- Query Html5 File Upload
- Woocommerce Product Options
- WP Database Backup
- Google mp3 Audio Player
- Sell Downloads
Temas WordPress vulnerables Junio 2017
- Vulnerabilidad de Escalada de Privilegios en el tema Newspaper 6.4–6.7.1
Vulnerabilidades del núcleo de WordPress Junio 2017
- Ninguna
Junio fue un mes tranquilo para el núcleo del CMS, aunque el pasado 8 de Junio si pudimos disfrutar de la liberación de WordPress 4.8 como «versión mayor» que ha traído algunas novedades interesantes.
Resumen:
- Plugins vulnerables: 41
- Temas vulnerables: 1
- Vulnerabilidades del núcleo: 0
- Actualizaciones del núcleo: 1 «mayor»
Irse de vacaciones y olvidarse de realizar copias de seguridad manuales, dejar programado un cron para backups automáticos o usar un plugin de backups automáticos en la nube ¡es el peor error que podrías cometer!
Me gustaría añadir que se han encontrado vulnerabilidades en los temas WordPress Rosemary y Lets blog, ambos susceptibles se spam desde los comentarios por haber perdido su atributo «nofollow», una de ellas en el área de texto y la otra en el nombre de usuario, respectivamente. Un saludo Luis!! nos vemos por webempresa jejeje.
Muy interesante el tema para tomarlo en cuenta, de razón a diario me llegan muchos Spam, no está demás verificar y comparar nuestro sitio web con estos plugins para evitar incómodos comentarios como el Spam en nuestras páginas web. Muy bueno el aporte, se agradece por compartirlo. Felicitaciones y saludos cordiales. Donde me suscribo.