iThemes zaktualizował swoje co miesięczne zestawienie wtyczek i motywów, które posiadają luki w zabezpieczeniach lub mogą być wykorzystane do przeprowadzenia ataku.1
Typy podatności WordPress
Wykryte podatności to m.in. – linki prowadzą do ich opisów:
- XSS
- CSRF
- Authenticated Path Traversal
- SQL Injection
- Unauthenticated Settings change (USC) – Nieautoryzowane zmiany w ustawieniach/plikach lub treści
Luki we wtyczkach i motywach – Lipiec 2019
Yoast SEO
![yoast seo wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/yoast-seo.png)
Podatność: XSS
Wersje: 1.2.0 - 11.5
Naprawiono w wersji: 11.6
WooCommerce
![](https://jaworowi.cz/wp-content/uploads/2019/07/woocommerce-wtyczka.png)
Podatność: CSRF
Wersje: 3.6.4
Naprawiono w wersji: 3.6.5
Ad Inserter
![ad inserter adinserter wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/ad-inserter-adinserter-wordpress-wtyczka.png)
Podatność: Authenticated Path Traversal
Wersje: 2.4.19
Naprawiono w wersji: 2.4.20
Ocean Extra (OceanWP Theme)
![ocean extra oceanwp wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/ocean-extra-oceanwp-wtyczka-wordpress.png)
Podatność: USC
Wersje: 1.5.8
Naprawiono w wersji: 1.5.9
WP Statistics
![wp statistics wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/wp-statistics-wordpress-wtyczka.png)
Podatność: SQL Injection
Wersje: 12.6.6.1
Naprawiono w wersji: 12.6.7
Visitors Traffic Real Time Statistics
![Visitors Traffic Real Time Statistics](https://jaworowi.cz/wp-content/uploads/2019/07/Visitors-Traffic-Real-Time-Statistics.png)
Podatność: CSRF
Wersje: 2.0.5
Naprawiono w wersji: 1.13
Essential Real Estate
![Essential Real Estate wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/Essential-Real-Estate-wtyczka-wordpress.png)
Podatność: CSRF
Wersje: 1.7.1
Naprawiono w wersji: 1.7.2
Appointment Booking Calendar
![Appointment Booking Calendar wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/Appointment-Booking-Calendar-wtyczka-wordpress.png)
Podatność: XSS & CSRF
Wersje: 1.3.18
Naprawiono w wersji: 1.3.19
Gallery PhotoBlocks
![Gallery PhotoBlocks wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/Gallery-PhotoBlocks-wtyczka-wordpress.png)
Podatność: CSRF
Wersje: 1.1.40
Naprawiono w wersji: 1.1.41
Slimstat Analytics (WP Slimstat)
![Slimstat Analytics wp-slimstat wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/Slimstat-Analytics-wp-slimstat-wordpress-wtyczka.png)
Podatność: CSRF & XSS
Wersje: 4.8.3
Naprawiono w wersji: 4.8.4
WP Google Maps
![WP Google Maps wtyczka plugin wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/WP-Google-Maps-wtyczka-plugin-wordpress.png)
Podatność: CSRF & XSS
Wersje: 7.11.34
Naprawiono w wersji: 3.11.35
LiveChat – Premium live chat software for WooCommerce
![LiveChat – Premium live chat software for WooCommerce wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/LiveChat-%E2%80%93-Premium-live-chat-software-for-WooCommerce-wodpress-wtyczka.png)
Podatność: CSRF & XSS
Wersje: 3.7.2
Naprawiono w wersji: 3.7.4
Icegram
![icegram wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/icegram-wordpress-wtyczka.png)
Podatność: CSRF & XSS
Wersje: 1.10.28.2
Naprawiono w wersji: 1.10.29
WP Like Button
![wp-like-button wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/wp-like-button-wordpress-wtyczka.png)
Podatność: Authentication Bypass
Wersje: 1.0 - 1.6.1
Naprawiono w wersji: Wtyczka wycofana z repozytorium.
File Manager
![file manager wordpress wtyczka](https://jaworowi.cz/wp-content/uploads/2019/07/file-manager-wordpress-wtyczka.png)
Podatność: Różne podatności
Wersje: 5.0
Naprawiono w wersji: 5.2
Newsletters (Tribulant)
![](https://jaworowi.cz/wp-content/uploads/2019/07/Newsletters-Tribulant-wordpress-wtyczki.png)
Podatność: XSS
Wersje: 4.6.16
Naprawiono w wersji: 4.6.18
One Click SSL (Tribulant)
![One Click SSL Tribulant Software wtyczka wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/One-Click-SSL-Tribulant-Software-wtyczka-wordpress.png)
Podatność: USC
Wersje: 1.4.6
Naprawiono w wersji: 4.6.18
Ultimate Member
![Ultimate Member – User Profile & Membership Plugin wordpress](https://jaworowi.cz/wp-content/uploads/2019/07/Ultimate-Member-%E2%80%93-User-Profile-Membership-Plugin-wordpress.png)
Podatność: CSRF & XSS
Wersje: 2.0.51
Naprawiono w wersji: 2.0.52
FV Flowplayer Video Player
![FV Flowplayer Video Player](https://jaworowi.cz/wp-content/uploads/2019/07/FV-Flowplayer-Video-Player.png)
Podatność: SQL Injection
Wersje: 7.3.18.727
Naprawiono w wersji: 7.3.19.727
Motyw Zoner – Motyw dla Agencji nieruchomości
![Zoner - Real Estate WordPress Theme](https://jaworowi.cz/wp-content/uploads/2019/07/Zoner-Real-Estate-WordPress-Theme.png)
Podatność: XSS
Wersje: 4.1 i niższe
Naprawiono w wersji: Brak aktualizacji
Jeżeli szukasz idealnego zamiennika dla tego motywu kliknij tutaj i przy okazji dowiedz się 9 rzeczy, które powinna, a w ręcz musi posiadać strona agencji/pośrednika nieruchomości :)
2 komentarze do wpisu “20 nowych podatności w WordPress (Wtyczki i Motyw) – Wymagana szybka reakcja… bo RODO!”
Janusz Kamiński
To jeszcze raz potwierdza, że trzeba aktualizować wtyczki. :)
Jakub Jaworowicz[ Autor Artykułu ]
I mieć ich możliwie jak najmniej :)