Questo nuovo anno e questo nuovo decennio cominciano non molto bene dal punto di vista della sicurezza WordPress, sono infatti molte le vulnerabilità WordPress a gennaio 2020. Già nei primi dieci giorni dell’anno sono molte le vulnerabilità ormai note e coinvolgono soprattutto plugin anche molto utilizzati.
Se siete interessati agli aggiornamenti potreste mettere un piace alla nostra pagina Facebook o iscrivervi alle notifiche di questo sito web.
Di seguito riportiamo le vulnerabilità note ad oggi a partire dall’inizio di gennaio 2020, se nel vostro sito web WordPress sono installati e attivi questi plugin, vi consigliamo di aggiornare immediatamente, per ogni plugin affetto da qualche vulnerabilità nota, indichiamo anche la soluzione o la versione del plugin in cui è stato risolto il problema di sicurezza segnalato.
Plugin: Calculated Fields Form < 1.0.354
Tipo: Authenticated Stored XSS Issues
Soluzione: Aggiornare alla versione 1.0.354
Plugin: Contact Form Clean and Simple <= 4.7.0
Tipo: Authenticated Stored XSS
Soluzione: la vulnerabilità non è ancora stata corretta
Plugin: Ultimate Member < 2.1.3
Tipo: IDOR, Insecure Direct Object Reference
Soluzione: Aggiornare alla versione 2.1.3
Plugin: AccessAlly < 3.3.2
Tipo: utilizzando la funzione login_error è possibile l’esecuzione di codice php arbitrario.
Soluzione: Aggiornare alla versione 3.3.2
Plugin: WP Accessibility < 1.7.0
Tipo: Authenticated Stored XSS in custom CSS, vulnerabilità di tipo minore.
Soluzione: Aggiornare alla versione 1.7.0
Plugin: Chatbot with IBM Watson < 0.8.21
Tipo: Self-XSS, DOM Cross-Site Scripting
Soluzione: Aggiornare alla versione 0.8.21
Plugin: 2J SlideShow < 1.3.40
Tipo: Authenticated Arbitrary Plugin Deactivation
Soluzione: Aggiornare alla versione 1.3.40
Plugin: Contextual Adminbar Color < 0.3
Tipo: Authenticated Stored Cross-Site Scripting Issue
Soluzione: Aggiornare alla versione 0.3
Plugin: Batch-Move Posts <= 1.5
Tipo: Broken Authentication leading to Unauthenticated Stored XSS
Soluzione: attualmente non disponibile
Plugin: Marketo Forms and Tracking <= 1.0.2
Tipo: CSRF to XSS
Soluzione: attualmente non disponibile
Plugin: Chained Quiz < 1.1.8.2
Tipo: Reflected XSS
Soluzione: Aggiornare alla versione 1.1.8.2
Plugin: WP Database Reset < 3.15
Tipo: Unauthenticated Database Reset + Privilege Escalation
Soluzione: Aggiornare alla versione 3.15
Plugin: LearnDash < 3.1.2
Tipo: Problemi Reflected Cross Site Scripting (XSS) nel campo dei ricerca Id_profile
Soluzione: Aggiornare alla versione 3.1.2
Plugin: ListingPro < 2.5.4
Tipo: Unauthenticated Reflected XSS
Soluzione: Aggiornare alla versione 2.5.4
Plugin: Real Estate 7 < 2.9.5
Tipo: Vulnerabilità multiple – Unauthenticated Reflected XSS, Authenticated Persistent XSS
Soluzione: Aggiornare alla versione 2.9.5
Plugin: Travel Booking < 2.7.8.6
Tipo: Reflected & Persistent XSS
Soluzione: Aggiornare alla versione 2.7.8.6
Plugin: Computer Repair Shop < 2.0
Tipo: Authenticated Stored XSS
Soluzione: Aggiornare alla versione 2.0
Plugin: Video on Admin Dashboard < 1.1.4
Tipo: Authenticated Stored XSS
Soluzione: Aggiornare alla versione 1.1.4
Plugin: EasyBook < 1.2.2
Tipo: Vulnerabilità multiple – Unauthenticated Reflected XSS, Authenticated Persistent XSS
Soluzione: Aggiornare alla versione 1.2.2
Plugin: TablePress < 1.10
Tipo: CSV Injection
Soluzione: Aggiornare alla versione 1.10
Plugin: TownHub < 1.0.6
Tipo: Vulnerabilità multiple
Soluzione: Aggiornare alla versione 1.0.6
Plugin: WooCommerce – Store Exporter < 2.4
Tipo: CSV Injection
Soluzione: Aggiornare alla versione 2.4
Plugin: CityBook < 2.3.4
Tipo: Vulnerabilità multiple
Soluzione: Aggiornare alla versione 2.3.4
Plugin: Ultimate Auction < 4.0.6
Tipo: CSRF e XSS multipli
Soluzione: Aggiornare alla versione 4.0.6
Plugin: InfiniteWP Client < 1.9.4.5
Tipo: Authentication Bypass
Soluzione: Aggiornare alla versione 1.9.4.5
Plugin: Backup and Staging by WP Time Capsule < 1.21.16
Tipo: Authentication Bypass
Soluzione: Aggiornare alla versione 1.21.16
Plugin: Minimal Coming Soon & Maintenance Mode < 2.17
Tipo: Insecure permissions: Export Settings/Theme Change
Soluzione: Aggiornare alla versione 2.17
Plugin: Minimal Coming Soon & Maintenance Mode < 2.15
Tipo: CSRF to Stored XSS and Setting Changes
Tipo: Insecure Permissions: Enable and Disable Maintenance Mode
Soluzione: Aggiornare alla versione 2.15 o successiva
WordPress Core: WordPress <= 5.3
Tipo: wp_kses_bad_protocol() Colon Bypass
Soluzione: In base alle versione di WordPress utilizzata aggiornare all’ultima versione disponibile corrispondente.
Tema: Ultimate FAQ < 1.8.30
Tipo: Unauthenticated Reflected XSS
Soluzione: Aggiornare alla versione 1.8.30
Tema: WP Simple Spreadsheet Fetcher For Google < 0.3.7
Tipo: Arbitrary API Key update via CSRF
Soluzione: ggiornare alla versione 0.3.7
Plugin: Import Users From CSV with Meta 1.15
Tipo: Esportazione degli utenti non autorizzata
Soluzione: Aggiornare alla versione 1.15.0.1 o successiva
Plugin: Postie <= 1.9.40
Tipo: Post Submission Spoofing e Stored XSS
Soluzione: al momento non nota
Plugin: WooCommerce Conversion Tracking < 2.0.5
Tipo: CSRF to XSS
Soluzione: Aggiornare alla versione 2.0.5
Plugin: ElegantThemes (divi, extra, divi-builder < 4.0.10)
Tipo: Authenticated Code Injection
Soluzione: Aggiornare alla versione 4.0.10
Se vuoi avere maggiori informazioni e saperne un po’ di più puoi leggere il nostro articolo sui 5 principali tipi di attacco ad un sito web
SERVE AIUTO?
CONTATTACI