Sono parecchie le vulnerabilità WordPress in questo mese di Febbraio 2020.
Se siete interessati agli aggiornamenti potreste mettere un piace alla nostra pagina Facebook o iscrivervi alle notifiche di questo sito web.
Di seguito riportiamo le vulnerabilità note ad oggi a partire dall’inizio di febbraio 2020, se nel vostro sito web WordPress sono installati e attivi questi plugin, vi consigliamo di aggiornare immediatamente almeno il plugin interessato, per ogni plugin affetto da qualche vulnerabilità nota, indichiamo anche la soluzione o la versione del plugin in cui è stato risolto il problema di sicurezza segnalato.
Nel caso in cui non fossero disponibili aggiornamenti sarebbe più opportuno disattivare il plugin o meglio disinstallarlo se non strettamente necessario al funzionamento del sito web.
Plugin: Registration Magic < 4.6.0.3
Tipo: CSRF to XSS
Soluzione: Aggiornare alla versione 4.6.0.3
Plugin: Chained Quiz < 1.1.9.1
Tipo: Authenticated Stored XSS
Soluzione: Aggiornare alla versione 1.1.9.1
Plugin: Easy Property Listings < 3.4
Tipo: Cross-Site Request Forgery (CSRF)
Soluzione: Aggiornare alla versione 3.4
Plugin: SAML SP Single Sign On < 4.8.84
Tipo: Cross-Site Scripting (XSS) via Crafted SAML XML Response
Soluzione: Aggiornare alla versione 4.8.84
Plugin: Popup Builder < 3.0
Tipo: SQL injection via PHP Deserialization
Soluzione: Aggiornare alla versione 3.0
Plugin: wpCentral < 1.5.1
Tipo: Improper Access Control to Privilege Escalation
Soluzione: Aggiornare alla versione 1.5.1
Plugin: Ninja Forms < 3.4.23
Tipo: CSRF to Stored Cross-Site Scripting (XSS) Issues
Soluzione: Aggiornare alla versione 3.4.23
Plugin: GDPR Cookie Consent < 1.8.3
Tipo: Improper Access Controls
Soluzione: Aggiornare alla versione 1.8.3
Plugin: Participants Database < 1.9.5.6
Tipo: Authenticated Time Based SQL Injection
Soluzione: Aggiornare alla versione 1.9.5.6
Plugin: Profile Builder e Profile Builder Pro < 3.1.1
Tipo: User Registration With Administrator Role
Soluzione: Aggiornare alla versione 3.1.1
Plugin: Reality <= 2.5.1
Tipo: Unauthenticated Reflected XSS
Soluzione: nessun fix dichiarato attualmente disponibile
Plugin: Events Manager < 5.9.7.2 – Events Manager Pro < 2.6.7.2
Tipo: CSV Injection
Soluzione: Aggiornare rispettivamente alla versione 5.9.7.2 e 2.6.7.2
Plugin: Ultimate Membership Pro < 8.7
Tipo: Vulnerabilità multiple, in particolare CSRF permette la creazione o cancellazione di account.
Soluzione: Aggiornare alla versione 8.7
Plugin: Htaccess by BestWebSoft <= 1.8.1
Tipo: CSRF to edit .htaccess
Soluzione: nessun fix dichiarato attualmente disponibile
Plugin: Auth0 < 3.11.3
Tipo: Authentication Bypass
Soluzione: Aggiornare alla versione 3.11.3
Plugin: Portfolio Filter Gallery < 1.1.3
Tipo: Unauthenticated Reflected XSS via wle Parameter
Soluzione: Aggiornare alla versione 1.1.3
Plugin: Tutor LMS < 1.5.3
Tipo: Cross-Site Request Forgery (CSRF)
Soluzione: Aggiornare alla versione 1.53
Plugin: Strong Testimonials < 2.40.1
Tipo: Stored Cross Site Scripting (XSS)
Soluzione: Aggiornare alla versione 2.40.1
Se vuoi avere maggiori informazioni e saperne un po’ di più puoi leggere il nostro articolo sui 5 principali tipi di attacco ad un sito web
SERVE AIUTO?
CONTATTACI