M

Resumo de Vulnerabilidades do WordPress | Julho de 2019 | Parte 1

Novas vulnerabilidades de temas e plugins do WordPress foram divulgadas durante a primeira metade deste mês, por isso você deve ficar atento.

Dividimos o Resumo de Vulnerabilidade do WordPress em quatro categorias diferentes:

Núcleo do WordPress

Temas do WordPress

Plugins do WordPress

Violações da Internet

Incluímos o Tópico Violações da Internet porque é essencial estar ciente das vulnerabilidades fora do ecossistema WordPress. Exploits para softwares de servidor podem expor dados confidenciais. As violações de banco de dados podem expor as credenciais dos usuários em seu site, abrindo as portas para que invasores acessem seu site.

Vulnerabilidades do Núcleo do WordPress (Core)

Nenhuma vulnerabilidade do WordPress foi divulgada até agora.

 

Vulnerabilidades de Plugins do WordPress

Diversas novas vulnerabilidades de plugins do WordPress foram descobertas em julho deste ano. Certifique-se de seguir a ação sugerida abaixo para atualizar o plug-in ou desinstalá-lo completamente.

 

1. Yoast SEO

O Yoast SEO versões 1.2.0-11.5 e abaixo é vulnerável a um ataque XSS autenticado armazenado.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 11.6.

 

2. Woocommerce

Capa do Plugin do Woocommerce

WooCommerce versão 3.6.4 e abaixo é vulnerável a uma falsificação de solicitação entre sites e a uma verificação de tipo de arquivo.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.6.5.

 

3. Ad Inserter

Capa do Plugin Ad Inserter

O Ad Inserter versão 2.4.19 e abaixo é vulnerável a um ataque de Authenticated Path Traversal.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 2.4.20.

 

4. Ocean Extra

Capa do Plugin Ocean Extra

O plugin Ocean Extra versão 1.5.8 e abaixo é vulnerável a uma alteração de Configurações não autenticadas e injeção CSS. A exploração permitirá que um invasor altere algumas configurações do WordPress e injete CSS para desfigurar o site.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.5.9.

 

5. WP Statistics

Capa do Plugin WP Statistics

O plugin WP Statistics, versão 12.6.6.1 e abaixo, é vulnerável a uma Unauthenticated Blind SQL Injection.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 12.6.7.

 

6. Visitors Traffic Real Time Statistics

Capa do Plugins Visitors Traffic Real Time Statistics

O plugin de analytics Visitors Traffic Real Time Statistics 2.0.5 e abaixo é vulnerável a um ataque de Cross-Site Request Forgery.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.13.

 

7. Essential Real Estate

Capa do Plugin Essencial Rate Estate

O plugin Essential Real Estate versão 1.7.1 e abaixo é vulnerável a um ataque Cross-Site Scripting.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.7.2.

 

8. Appointment Booking Calendar

Capa de Plugin Appointment Booking Calendar

O plugin Appointment Booking Calendar versão 1.3.18 e abaixo é vulnerável a um ataque de Unauthenticated Stored XSS. A falta de uma verificação de autorização pode levar a um ataque Cross-Site Scripting.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.3.19.

 

9. Gallery PhotoBlocks

Capa do Plugin Gallery PhotoBlocks

O plugin Gallery PhotoBlocks versão 1.1.40 e inferior é vulnerável a um ataque de Cross-Site Scripting.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.1.41.

 

10. Slimstat Analytics

Capa do Plugin Slimstat Analytics

O plugin Slimstat Analytics version 4.8.3 e inferior é vulnerável a ataques de Cross-Site Request Forgery e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 4.8.4.

 

11. WP Google Maps

Capa do Plugin WP Google Maps Logo

O WP Google Maps na versão 7.11.34 ou inferior é vulnerável a ataques de Cross-Site Request Forgery e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 7.11.35.

 

12. LiveChat

Capa do Plugin Live Chat

LiveChat na versão 3.7.2 e abaixo é suscetível a ataques de Cross-Site Request Forgery e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.7.4.

 

13. Icegram

Capa do Plugin Yoast Seo

O plugin Icegram versão 1.10.28.2 e inferior é vulnerável a ataques Cross-Site Request Forgery e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.10.29.

 

14. WP Like Button

Capa do Plugin WP Like Button

O plugin WP Like Button é vulnerável a um ataque Authentication Bypass.

O que é preciso fazer?

O WordPress.org fechou o plugin WP Like Button. Sendo assim, remova o plugin e encontre um substituto.

 

15. File Manager

Capa do Plugin File Manager

O plugin File Manager 5.0 e abaixo tem várias vulnerabilidades. Conforme relatado pelo WebARX, se exploradas, as vulnerabilidades permitem que qualquer usuário conectado visualize, exclua ou faça o download de backups. Se o seu site tiver inscrição aberta, isso significa que qualquer pessoa pode fazer o download de uma cópia do seu banco de dados e encontrar informações confidenciais que possam levar a mais comprometimentos.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 5.2.

 

16. Newsletters

Capa do Plugin Newsletter Tribulant

O plugin Newsletter Lite versão 4.6.16 e abaixo é vulnerável a um ataque de Authenticated Reflected XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 4.6.18.

 

17. One Click SSL

Capa do Plugin Tribulant

O One Click SSL, também da Tribulant, versão 1.4.6 e abaixo tem várias vulnerabilidades. As vulnerabilidades, se exploradas, podem permitir uma alteração não autorizada de configurações e permitir que um usuário com poucos privilégios possa chamar métodos AJAX.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.4.7.

 

18. Ultimate Member

Capa do Plugin Ultimate Member

O plugin Ultimate Member versão 2.0.51 e abaixo é vulnerável a um ataque Cross-Site Request Forgery e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 2.0.52.

 

19. FV Flowplayer Video Player

Capa do Plugin FV Player

O FV Flowplayer Video Player versão 7.3.18.727 e abaixo é vulnerável a um ataque de SQL Injection.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 7.3.19.727.

 

Temas do WordPress

 

20. Zoner – Real Estate WordPress Theme

Capa Tema Zoner Real State

O tema Zoner – Real Estate WordPress Theme versão 4.1 e inferior é vulnerável aos ataques Reflected XSS e Stored XSS.

O que é preciso fazer?

A vulnerabilidade foi corrigida e você deve atualizar para a versão 4.2.

 

Como ser proativo sobre as vulnerabilidades do tema e do plug-in para WordPress

A execução de software desatualizado é o principal motivo pelo qual os sites do WordPress são invadidos. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. **Você deve acessar seu site pelo menos uma vez por semana para realizar atualizações.**

 

Violações da Internet

 

21. Zoom

A empresa de vídeo-conferência Zoom tinha uma vulnerabilidade do seu aplicativo para Mac. A vulnerabilidade permitiria que um site mal-intencionado forçasse um usuário do Zoom a participar de uma chamada do Zoom.

A Zoom queria que todos os usuários participassem de uma reunião com um único clique. Isso funcionou muito bem até que a Apple decidiu que as URLs não deveriam abrir outros aplicativos sem aprovação e acrescentou uma medida de segurança que exige um clique adicional de aprovação.

A empresa decidiu tirar vantagem de como a Apple permite que desenvolvedores de aplicativos criem um servidor web local para criar um servidor que contorne o novo requisito de aprovação.

Embora inicialmente a Zoom tenha dito que isso não era um problema, eles ouviram o feedback que estavam recebendo e decidiram consertar o aplicativo e remover o servidor web local. A Apple também emitiu um patch removendo o servidor web local para proteger versões desatualizadas do Zoom da vulnerabilidade.

 

21. Malware para Android Agente Smith

O malware Agent Smith ganhou seu nome ao substituir partes de outros códigos de aplicativos Android por seu código. O malware não tenta coletar dados do usuário. Em vez disso, isso força os aplicativos que hackeavam a exibir mais anúncios e, em seguida, recebe o crédito de exibir os anúncios para coletar a receita.

O aplicativo se originou em 9Apps, uma loja de aplicativos de terceiros que é popular na Índia. O autor do malware tentou adicionar 11 dos seus aplicativos infestados à Google Play Store. Mas, antes que os apps pudessem causar algum dano, eles foram detectados e removidos pelo Google.

 

22. Vulnerabilidade no app Walkie Talkie do Apple Watch

A Apple divulgou uma vulnerabilidade no aplicativo Apple Watch Walkie Talkie. A Apple desativou o aplicativo para corrigir a vulnerabilidade que permite que um invasor escute conversas. É importante notar que a Apple disse que não há evidências de que a vulnerabilidade tenha sido explorada.

 

Contratar um Serviço Especializado em Manutenção de Sites WordPress pode ajudar a proteger seu site

Nós da SOS WordPress monitoramos os sites de nossos clientes 24 horas por dia e as atualizações são imediatas. Isso garante que seu site esteja sempre seguro e online.

Próximo

M

Hello. How are you?

SAMPLE POPUP

Built with Divi Builder.

Email Address

OUR OFFICE

101 Mark Boulevard St,
10040, New York,
United States.