iThemes zaktualizował swoje co miesięczne zestawienie wtyczek i motywów, które posiadają luki w zabezpieczeniach lub mogą być wykorzystane do przeprowadzenia ataku.
Typy podatności WordPress
Wykryte podatności to m.in. – linki prowadzą do ich opisów:
- XSS
- CSRF
- Authenticated Path Traversal
- SQL Injection
- Open Redirect
- Broken Authentication and Session Management
- Full Path Disclosure
- Unauthenticated Settings change (USC) – Nieautoryzowane zmiany w ustawieniach/plikach lub treści
Luki we wtyczkach i motywach WordPress (10-11.2019)
All In One WP Security & Firewall
Wtyczka od (nie)bezpieczeństwa jak zwykle w czołówce takich zestawień :)
Podatność: Open Redirect
Wersje: 4.4.1
Naprawiono w wersji: 4.4.2
All In One SEO Pack
Podatność: CSRF
Wersje: 2.3.6
Naprawiono w wersji: 2.3.7
Events Manager
Podatność: CSRF
Wersje: 5.9.5
Naprawiono w wersji: 5.9.6
EU Cookie Law
Podatność: CSRF
Wersje: 3.0.6
Naprawiono w wersji: 3.1
Fast Velocity Minify
Podatność: Full Path Disclosure
Wersje: 2.7.6
Naprawiono w wersji: 2.7.7
SyntaxHighlighter Evolved
Podatność: CSRF
Wersje: 3.5
Naprawiono w wersji: 3.5.1
Popup Maker
Podatność: Broken Authentication (CVE-2019-17574)
Wersje: 1.8.12
Naprawiono w wersji: 1.8.13
iThemes Sync
Podatność: Broken Authentication and Session Management
Wersje: 2.0.17
Naprawiono w wersji: 2.0.18
Broken Link Checker
Podatność: XSS
Wersje: 1.11.8
Naprawiono w wersji: Wtyczka prawdopobnie nie jest już wspierana
Powyżej uwzględniłem najpopularniejsze wtyczki na naszym podwórku, jednak jest ona trochę większa i można ją sprawdzić na oryginalnych listach poniżej: