Bezpečně ve WordPress – únor 2020

Bezpečně ve WordPress – únor 2020

Únor byl na opravy zabezpečení v pluginech a tématech WordPressu bohatý. Níže uvádím jejich souhrn (podle https://ithemes.com/ ) – zkontrolujte si, zda některý z nich používáte na svém webu a zda je aktualizovaný.

Opravy pluginů

1. Elementor Page Builder OPRAVENO

elementor

Verze Elementer Page Builder verze 2.8.4 a nižší má chybu zabezpečení Authenticated Reflected Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.8.5.

2. Strong Testimonials OPRAVENO

Strong Testimonials

Strong Testimonials verze 2.40.0 a nižší mají chybu zabezpečení Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.40.1.

3. Portfolio Filter Gallery OPRAVENO

Portfolio Gallery

Portfolio Filter Gallery verze 1.1.2 a nižší mají chybu Forgery s požadavkem na více stránek, která může vést k útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.3.

4. Tutor LMS OPRAVENO

Tutor LMS

Tutor LMS verze 1.5.2 a nižší jsou zranitelné vůči útoku na padělání na různých stránkách. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.3.

5. Login by Auth0 OPRAVENO

Login by Auth0

Login by Auth0 verze 3.11.2 a nižší jsou zranitelné vůči neověřenému útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.11.3.

6. Htaccess by BestWebSoft OPRAVENO

Htaccess by BestWebSoft

Htaccess by BestWebSoft verze 1.8.1 a nižší má chybu zabezpečení sfalšování na různých stránkách, která může vést k úpravě .htaccess útočníkem. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.2.

7. Ultimate Membership Pro OPRAVENO

Ultimate Membership Pro

Verze Ultimate Membership Pro pod 8.6.1 mají několik slabých míst, které mohou vést k tomu, že uživatel s nižším oprávněním provede útok na vzdálené spuštění kódu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 8.7.

8. Event Manager & Events Manager Pro OPRAVENO

Ultimate Membership Pro

Event Manager nižší verze než 5.9.7.2 a Events Manager Pro verze nižší než 2.6.7.2 jsou citlivé na útok CSV Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 5.9.7.2. a Pro na verzi 2.6.7.2.

9. Profile Builder a Profile Builder Pro OPRAVENO

Profile Builder

Profile Builder a Profile Builder Pro verze nižší než 3.1.1 mají chybu zabezpečení, která umožňuje neautentizovaným uživatelům zaregistrovat nebo upravit svůj účet a získat roli správce pomocí formulářů pluginu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.1.1.

10. Participants Database OPRAVENO

Participants Database

Participants Database verze 1.9.5.5 a nižší jsou náchylné k útoku Authenticated SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.9.5.6.

11. GDPR Cookie Consent OPRAVENO

GDPR Cookie Consen

GDPR Cookie Consent verze 1.8.2 a nižší mají chybu zabezpečení, která by mohla uživateli nižší úrovně umožnit změnit stav příspěvku nebo stránky a mohla by vést k útoku skriptování mezi weby. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.3.

12. Ninja Form OPRAVENO

Ninja Forms Contact Form

Verze Ninja Form 3.4.22.1 a nižší má více zranitelných míst pro ověřování uložených skriptů mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.4.23.

13. ThemeGrill Demo Importer OPRAVENO

ThemeGrill Demo Importer

ThemeGrill Demo Importer verze 1.6.1 a nižší mají chybu zabezpečení, která by umožnila neověřenému uživateli vymazat celou databázi. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.6.2.

14. SAML SP Single Sign On – SSO login OPRAVENO

SAML SP Single Sign On

SAML SP Single Sign On verze 4.8.83 a nižší jsou zranitelné útokem skriptování mezi servery. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.8.84.

15. wpCentral OPRAVENO

wpCentral

Verze wpCentral verze 1.5.1 a nižší má chybnou kontrolu přístupu, která zvyšuje zranitelnost eskalace oprávnění. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.2.

16. ThemeREX Addons OPRAVENO

ThemeREX Addons

ThemeRex Addons verze 1.6.50 a vyšší mají chybu zabezpečení. Chyby zabezpečení byly opraveny, aktualizujte na opravnou verzi.

17. Modula Image Gallery OPRAVENO

Modula Image Gallery

Modula Image Gallery verze 2.2.4 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.2.5.

18. Duplicator OPRAVENO

Duplicator

Verze duplikátoru 1.3.26 a nižší mají zranitelnost neověřeného stahování libovolných souborů. O pluginu píšu zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.3.28.

19. Chained Quiz OPRAVENO

kiboko

Chained Quiz od Kiboko Labs verze 1.1.9 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.9.1.

20. RegistrationMagic OPRAVENO

RegistrationMagic

RegistrationMagic verze 4.6.0.1 a nižší mají více zranitelností skriptování mezi weby a ověřitelnou chybu SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.6.0.3.

21. Photo Gallery by 10Web OPRAVENO

Photo Gallery by 10Web

Fotogalerie verze 1.5.45 a nižší má více zranitelností skriptování mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.46.

22. Envira Photo Gallery OPRAVENO

Envira Photo Gallery

Envira Photo Gallery ve verzi 1.7.6 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.7.7.

23. iThemes Sync Pro OPRAVENO

iThemes Sync Pro

iThemes Sync Pro verze nižší než 2.1.3 má chybu v požadavku na ověření. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.1.3.

Opravy šablon

1. Reality OPRAVENO

Reality

Verze šablony Reality 2.5.1 a nižší jsou zranitelné vůči neověřenému útoku skriptování. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.5.2.

2. Fruitful OPRAVENO

fruitful

Šablona Fruitful verze 3.8 a nižší je zranitelná vůči neověřenému útoku skriptování. Šablonu odinstalujte – vývojáři na ohlášenou chybu nereagují. AKTUALIZACE: šablona byla opravena ve verzi 3.8.2.

Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostíslužby > údržba WordPress.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn