iThemes zaktualizował swoje co miesięczne zestawienie wtyczek i motywów, które posiadają luki w zabezpieczeniach lub mogą być wykorzystane do przeprowadzenia ataku.
Typy podatności WordPress
Wykryte podatności to m.in. – linki prowadzą do ich opisów:
- XSS
- CSRF
- Authenticated Path Traversal
- SQL Injection
- Open Redirect
- Broken Authentication and Session Management
- Full Path Disclosure
- Unauthenticated Settings change (USC) – Nieautoryzowane zmiany w ustawieniach/plikach lub treści
Luki we wtyczkach i motywach WordPress (10-11.2019)
![Alert bezpieczeństwa WordPress](https://jaworowi.cz/wp-content/uploads/2019/07/wp-sec-alert-1024x576.png)
All In One WP Security & Firewall
![All In One WP Security & Firewall](https://jaworowi.cz/wp-content/uploads/2019/11/All-In-One-WP-Security-Firewall.png)
Wtyczka od (nie)bezpieczeństwa jak zwykle w czołówce takich zestawień :)
Podatność: Open Redirect
Wersje: 4.4.1
Naprawiono w wersji: 4.4.2
All In One SEO Pack
![All in One SEO Pack](https://jaworowi.cz/wp-content/uploads/2019/11/All-in-One-SEO-Pack-1024x393.png)
Podatność: CSRF
Wersje: 2.3.6
Naprawiono w wersji: 2.3.7
Events Manager
![Events Manager](https://jaworowi.cz/wp-content/uploads/2019/11/Events-Manager.png)
Podatność: CSRF
Wersje: 5.9.5
Naprawiono w wersji: 5.9.6
EU Cookie Law
![EU Cookie Law (GDPR)](https://jaworowi.cz/wp-content/uploads/2019/11/EU-Cookie-Law-GDPR.png)
Podatność: CSRF
Wersje: 3.0.6
Naprawiono w wersji: 3.1
Fast Velocity Minify
![Fast Velocity Minify](https://jaworowi.cz/wp-content/uploads/2019/11/Fast-Velocity-Minify.png)
Podatność: Full Path Disclosure
Wersje: 2.7.6
Naprawiono w wersji: 2.7.7
SyntaxHighlighter Evolved
![SyntaxHighlighter Evolved](https://jaworowi.cz/wp-content/uploads/2019/11/SyntaxHighlighter-Evolved.png)
Podatność: CSRF
Wersje: 3.5
Naprawiono w wersji: 3.5.1
Popup Maker
![Popup Maker](https://jaworowi.cz/wp-content/uploads/2019/11/Popup-Maker-%E2%80%93-Popup-Forms-Opt-ins-More.png)
Podatność: Broken Authentication (CVE-2019-17574)
Wersje: 1.8.12
Naprawiono w wersji: 1.8.13
iThemes Sync
![iThemes Sync](https://jaworowi.cz/wp-content/uploads/2019/11/iThemes-Sync.png)
Podatność: Broken Authentication and Session Management
Wersje: 2.0.17
Naprawiono w wersji: 2.0.18
Broken Link Checker
![Broken Link Checker](https://jaworowi.cz/wp-content/uploads/2019/11/Broken-Link-Checker.png)
Podatność: XSS
Wersje: 1.11.8
Naprawiono w wersji: Wtyczka prawdopobnie nie jest już wspierana
Powyżej uwzględniłem najpopularniejsze wtyczki na naszym podwórku, jednak jest ona trochę większa i można ją sprawdzić na oryginalnych listach poniżej: