Varias vulnerabilidades nuevas de plugins WordPress fueron reveladas durante la segunda mitad de octubre. En esta publicación, cubrimos vulnerabilidades recientes y qué hacer si está ejecutando uno de los complementos vulnerables en su sitio web.
En octubre se descubrieron varias vulnerabilidades nuevas del plugins. Recomendamos seguir la acción sugerida a continuación para actualizar el plugin o desinstalarlo por completo.
All In One SEO:
All In One SEO Pack versión 3.2.6 y posteriores son vulnerables a un Stored Cross-Site Scripting. Un atacante deberá usar un usuario autenticado para explotar la vulnerabilidad. Si el atacante obtiene acceso a un usuario administrador, podría ejecutar código PHP y comprometer el servidor.
Recomendación:
La vulnerabilidad ha sido parcheada y debe actualizarla a la versión 3.2.7.
Broken Link Checker
Broken Link Checker versión 1.11.8 y posteriores es vulnerable a un Stored Cross-Site Scripting.
Recomendación:
Desinstala y elimina el complemento. Manage WP no mantiene activamente el complemento y no lanzará un parche.
Events Manager
La versión 5.9.5 y siguientes del Administrador de eventos es vulnerable a un Stored Cross-Site Scripting.
Recomendación:
La vulnerabilidad ha sido parcheada y debes actualizarla a la versión 5.9.6.
EU Cookie Law
La Ley de Cookies de la UE versión 3.0.6 y posteriores es vulnerable a un Stored Cross-Site Scripting. La vulnerabilidad permitirá que un atacante inserte HTML y Javascript arbitrarios para modificar la configuración de Color de fuente, Color de fondo y Texto de “Desactivar cookie” en el complemento.
Recomendación:
La vulnerabilidad ha sido parcheada y debes actualizarla a la versión 3.1.
Fast Velocity Minify
Fast Velocity Minify versión 2.7.6 y posteriores tiene una vulnerabilidad que permitiría a un atacante autenticado descubrir la ruta raíz completa de la instalación de WordPress. Una vulnerabilidad de ruta completa en sí misma no es crítica. Sin embargo, saber la ruta raíz le daría a un atacante la información necesaria para aprovechar otras vulnerabilidades más graves.
Recomendación:
La vulnerabilidad ha sido parcheada y debes actualizarla a la versión 2.7.7.
Una buena práctica es mantener los plugins y temas actualizados a la última versión del autor (previo backup de nuestros archivos) parta evitar ataques de cualquier tipo, sabiendo que WordPpress es un CMS de código abierto en el cual, si no tomamos las medidas de precaución necesarias, podemos vernos envueltos es una situación bastante complicada para nuestro sitio web.
Fuente: ithemes.com