iThemes zaktualizował swoje co miesięczne zestawienie wtyczek i motywów, które posiadają luki w zabezpieczeniach lub mogą być wykorzystane do przeprowadzenia ataku. Poniżej przedstawiam wybrane z nich, a pełną listę można znaleźć w linkach znajdujących się na końcu artykułu.
Z uwagi na fakt, że nie chcę szerzyć scenariuszy ataków w zdecydowanej większości posłużę się jedynie suchymi informacjami na temat typu podatności oraz wersjami bez nich. Osoby, które chcą poznać szczegóły z pewnością znajdą szczegółowe opisy, skrypty i instrukcje w otwartym internecie lub sieci TOR.
Wtyczki WordPress
ElegantThemes Divi Builder
![](https://jaworowi.cz/wp-content/uploads/2020/01/ElegantThemes-Divibuilder-divi-builer-1024x373.png)
Problem dotyczy zarówno samego DIVI, stron korzystających z DIVI Buildera w formie wtyczki będących opartych o inne motywy, ale też drugiego motywu produkcji Elegant Themes – Extra.
Podatność: USC
Wersje: 4.0.9
Naprawiono w wersji: 4.0.10
Code Snippets
![](https://jaworowi.cz/wp-content/uploads/2020/01/Code-Snippets.png)
Podatność: CSRF
Wersje: 2.13.3
Naprawiono w wersji: 2.14
WP Database Reset
![](https://jaworowi.cz/wp-content/uploads/2020/01/WP-Database-Reset.png)
Podatność: USC
Wersje: 3.1
Naprawiono w wersji: 3.15
WP Accessibility
![](https://jaworowi.cz/wp-content/uploads/2020/01/WP-Accessibility.png)
Podatność: CSRF
Wersje: 1.6.10
Naprawiono w wersji: 1.7
WPS Hide Login
![](https://jaworowi.cz/wp-content/uploads/2020/01/WPS-Hide-Login.png)
Jeżeli dalej ufasz w te i inne wtyczki od (nie)bezpieczeństwa koniecznie skontaktuj się ze mną i zapytaj o prawdziwe zabezpieczenie strony.
Podatność: USC
Wersje: 1.5.4.2
Naprawiono w wersji: 1.5.5
Flamingo
![](https://jaworowi.cz/wp-content/uploads/2020/01/flamingo.png)
Podatność: USC
Wersje: 2.1
Naprawiono w wersji: 2.1.1
Ultimate Member
![Ultimate Member – User Profile & Membership Plugin wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/Ultimate-Member-%E2%80%93-User-Profile-Membership-Plugin-wordpress-1024x390.png)
Podatność: Insecure Direct Object Reference
Wersje: 2.1.2
Naprawiono w wersji: 2.1.3
LearnDash
![](https://jaworowi.cz/wp-content/uploads/2020/01/learndash-maly-banner-1024x404.png)
Podatność: CSRF
Wersje: 3.1.1
Naprawiono w wersji: 3.1.2
Backup and Staging by WP Time Capsule
![Backup and Staging by WP Time Capsule](https://jaworowi.cz/wp-content/uploads/2020/01/Backup-and-Staging-by-WP-Time-Capsule.png)
Ta i kolejna wtyczka posiadała ten sam typ błędu, aby zalogować się do WordPress na konto dowolnego użytkownika należało znać tylko jego login.
Podatność: Authentication Bypass
Wersje: 1.21.15
Naprawiono w wersji: 1.21.16
InfiniteWP Client
![](https://jaworowi.cz/wp-content/uploads/2020/01/InfiniteWP-Client.png)
Podatność: Authentication Bypass
Wersje: 1.9.4.4
Naprawiono w wersji: 1.9.4.5
Ultimate FAQ
![](https://jaworowi.cz/wp-content/uploads/2020/01/Ultimate-FAQ.png)
Podatność: CSRF & XSS
Wersje: 1.8.29
Naprawiono w wersji: 1.8.30
GDPR Cookie Compliance
![](https://jaworowi.cz/wp-content/uploads/2020/01/GDPR-Cookie-Compliance.png)
Podatność: Broken Authentication and Session Management
Wersje: 4.0.2
Naprawiono w wersji: 4.0.3
Featured Image from URL
![](https://jaworowi.cz/wp-content/uploads/2020/01/Featured-Image-from-URL.png)
Podatność: Broken Authentication
Wersje: 2.7.7
Naprawiono w wersji: 2.7..8
301 Redirects – Easy Redirect Manager
![](https://jaworowi.cz/wp-content/uploads/2020/01/301-Redirects-%E2%80%93-Easy-Redirect-Manager.png)
Podatność: Authenticated, XSS, CSRF, USC
Wersje: 2.4.0
Naprawiono w wersji: 2.45
Minimal Coming Soon & Maintenance Mode – Coming Soon Page
![](https://jaworowi.cz/wp-content/uploads/2020/01/Minimal-Coming-Soon-Maintenance-Mode-%E2%80%93-Coming-Soon-Page.png)
Podatność: XSS, CSRF, USC
Wersje: 2.10
Naprawiono w wersji: 2.17
WooCommerce Conversion Tracking
![](https://jaworowi.cz/wp-content/uploads/2020/01/WooCommerce-Conversion-Tracking.png)
Podatność: XSS, CSRF
Wersje: 2.0.4
Naprawiono w wersji: 2.0.5
Ultimate WordPress Auction Plugin
![](https://jaworowi.cz/wp-content/uploads/2020/01/Ultimate-WordPress-Auction-Plugin.png)
Podatność: CSRF/CSS
Wersje: 4.0.5
Naprawiono w wersji: 4.0.6
Motywy WordPress
Listing Pro
![](https://jaworowi.cz/wp-content/uploads/2020/01/Listing-PRO-ThemeForest.png)
https://themeforest.net/item/listingpro-multipurpose-directory-theme/19386460
Podatność: XSS
Wersje: 2.5.3
Naprawiono w wersji: 2.5.4
Traveler – Travel Booking WordPress Theme
![](https://jaworowi.cz/wp-content/uploads/2020/01/Traveler-Travel-Booking-WordPress-Theme.png)
https://themeforest.net/item/traveler-traveltourbooking-wordpress-theme/10822683
Podatność: XSS
Wersje: 2.7.8.5
Naprawiono w wersji: 2.7.8.6
CityBook – Directory & Listing WordPress Theme
![](https://jaworowi.cz/wp-content/uploads/2020/01/CityBook-Directory-Listing-WordPress-Theme.png)
https://themeforest.net/item/citybook-directory-listing-wordpress-theme/21694727
Podatność: XSS
Wersje: 2.9.4
Naprawiono w wersji: 2.9.5
Real Estate 7 WordPress
![](https://jaworowi.cz/wp-content/uploads/2020/01/Real-Estate-7-WordPress.png)
https://themeforest.net/item/wp-pro-real-estate-7-responsive-real-estate-wordpress-theme/12473778
Podatność: XSS
Wersje: 2.3.3
Naprawiono w wersji: 2.3.4
Houzez – Real Estate
![](https://jaworowi.cz/wp-content/uploads/2020/01/Houzez-Real-Estate-WordPress-Theme.png)
https://themeforest.net/item/houzez-real-estate-wordpress-theme/15752549
Podatność: CSRF
Wersje: 1.8.3.1
Naprawiono w wersji: 1.8.4
Pozostałe podatności i więcej informacji znajduje się na stronach iThemes:
Jeden komentarz dla "Miliony stron WordPress zagrożonych – Podatności Styczeń 2020"
Janusz Kamiński
O jej! Tyle stron zostały zarażone…