Bezpečně ve WordPress – březen 2020

Bezpečně ve WordPress – březen 2020

Březnový souhrn oprav ve WordPress pluginech a tématech (podle https://ithemes.com/) je pestrý a řádně nabitý – zkontrolujte si, zda některý z nich používáte na svém webu a zda je aktualizovaný.

Opravy pluginů

1. Pricing Table by Supsystic OPRAVENO

Careerfy - Job Board

Pricing Table by Supsystic verze 1.8.1 a nižší má hned několik slabých míst. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.2.

2. Flexible Checkout Fields for WooCommerce OPRAVENO

Flexible Checkout Fields for WooCommerce

Flexible Checkout Fields for WooCommerce verze 2.3.1 a nižší mají chybu zabezpečení Neověřená aktualizace. Plugin umožňoval vkládat škodlivé skripty na stránky pokladen WooCommerce. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.3.2.

3. export-users ODSTRAŇTE

Exportovat uživatele do pluginu CSV

Export-Users verze 1.4.2 a nižší jsou náchylné k útoku CSV Injection. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.

4. Hero Maps OPRAVENO

Hero Maps Premium

Hero Maps verze 2.2.1 a nižší jsou zranitelné prostřednictvím neautentizovaného zrcadleného skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.2.3.

5. CardGate Payments for WooCommerce OPRAVENO

CardGate Payments for WooCommerce

CardGate Payments pro WooCommerce verze 3.1.15 a nižší jsou zranitelné při neautorizovaných platbách a zneužití stavu objednávek. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.1.16.

6. Async JavaScript OPRAVENO

Async JavaScript

Verze Async JavaScriptu 2.19.07.14 a nižší mají chybu zabezpečení Neověřené uložené mezisíťové skriptování. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.20.02.27.

7. 10Web Map Builder for Google Maps OPRAVENO

10Web Map Builder for Google Maps

10Web Map Builder pro Mapy Google verze 1.0.63 a novější má zranitelnost Unauthenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.64.

8. Modern Events Calendar Lite OPRAVENO

Modern Events Calendar Lite

Modern Events Calendar Lite verze 5.1.6 a nižší má chybu Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 5.1.7.

9. Appointment Booking Calendar OPRAVENO

Appointment Booking Calendar

Kalendář rezervace schůzek ve verzích 1.3.34 a nižších má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.3.35.

10. WPForms OPRAVENO

Contact-Form-by-WPForms Drag Drop Form Builder for WordPress

Verze WPForms verze 1.5.8.2 a nižší mají chybu zabezpečení Ověření skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.5.9.

11. WordPress WP-Advanced-Search OPRAVENO

WordPress WP Advanced Search

Verze WordPress WP-Advanced-Search verze 3.3.3 a nižší mají chybu zabezpečení Neověřený přístup k databázi a vzdálené spuštění kódu. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.3.4.

12. RegistrationMagic OPRAVENO

RegistrationMagic

RegistrationMagic verze 4.6.0.1 a nižší má více bezpečnostních chyb. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.6.0.4.

13. Brizy – Page Builder OPRAVENO

Brizy Page Builder

Brizy – Page Builder verze 1.0.113 a nižší má chybu zabezpečení Neověřené aktualizace webu. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.114.

14. Custom Searchable Data Entry System ODSTRAŇTE

Vlastní vyhledávací systém pro zadávání dat

Custom Searchable Data Entry System verze 1.7.1 a novější má zranitelnost Unauthenticated Modification and Deletion. Tato chyba zabezpečení je aktivně využívána. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.

15. WP Security Audit Log OPRAVENO

WP Security Audit Log

WP Security Audit Log verze 4.0.1 a nižší má chybu zabezpečení přístupu Broke Access. Chyba zabezpečení byla opravena, aktualizujte na verzi 4.0.2.

16.-22. Více pluginů ODSTRAŇTE

multiple closures

Buddypress Component Statsabstract-submissionWP e-Commerce Shop Stylingweb-portal-lite-clientpost-pdf-exportblogtopdf, a gboutique mají zranitelnost neověřeného zahrnutí lokálního souboru Dompdf. Pluginy jsou z úložiště wordpress.org odstraněny, měli byste je smazat i ze svého webu.

23. WordPress File Upload OPRAVENO

WordPress File Upload

Verze WordPress File Upload nižší než 4.13.0 mají chybu zabezpečení umožňující vzdálené spuštění kódu. Chyba zabezpečení byla opravena, aktualizujte na verzi 4.13.0.

24. Newsletter OPRAVENO

Verze Newsletteru nižší než 6.5.4 mají chybu zabezpečení CSV Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 6.5.4.

25. LearnPress OPRAVENO

LearnPress

LearnPress verze nižší než 3.2.6.7 mají chybu zabezpečení Privilege Escalation. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.2.6.7.

26. Custom Post Type UI OPRAVENO

Custom Post Type UI

Verze Custom Post Type UI nižší než 1.7.4 mají chybu zabezpečení skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.7.4.

27. Gutenberg & Elementor Templates Importer For Responsive OPRAVENO

Gutenberg Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive verze nižší než 2.2.6 mají chybu zabezpečení nechráněných koncových bodů AJAX. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.2.6.

28. Advanced Ads – Ad Manager & AdSense OPRAVENO

Advanced Ads

Advanced Ads – Ad Manager & AdSense verze nižší než 1.17.4 mají ověřenou chybu skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.17.4.

29. Migrate & Backup WordPress – WPvivid Backup Plugin OPRAVENO

Migrate Backup WordPress

Migrate & Backup WordPress – WPvivid Backup Plugin verze nižší než 0.9.36 mají chybějící oprávnění vedoucí ke zranitelnosti databáze. Chyba zabezpečení byla opravena, aktualizujte na verzi 0.9.36.

30. Cookiebot OPRAVENO

Cookiebot GDPR CCPA Compliant Cookie Consent and Control

Verze Cookiebot nižší než 3.6.1 mají chybu zabezpečení Authenticated Reflected Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.6.1.

31. Data Tables Generator by Supsystic OPRAVENO

Data Tables Generator by Supsystic

Data Tables Generator by Supsystic verze nižší než 1.9.92 má několik slabých míst. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.9.92.

32. Product Lister for Walmart ODSTRAŇTE

Seznam produktů pro plugin Walmart

Product Lister for Walmart má chybu zabezpečení Neověřené vzdálené spuštění kódu. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.

33. All-in-One WP Migration OPRAVENO

All in One WP Migration

Verze All-in-One WP Migration nižší než 7.15 mají chybu zabezpečení Arbitrary Backup Download. Chyba zabezpečení byla opravena, aktualizujte na verzi 7.15.

Opravy šablon

1. Fruitful OPRAVENO

fruitful

Verze Fruitful motivu nižší než 3.8.2 obsahuje chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.8.2.

Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostíslužby > údržba WordPress.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn