Únor byl na opravy zabezpečení v pluginech a tématech WordPressu bohatý. Níže uvádím jejich souhrn (podle https://ithemes.com/ ) – zkontrolujte si, zda některý z nich používáte na svém webu a zda je aktualizovaný.
- Opravy pluginů
- 1. Elementor Page Builder OPRAVENO
- 2. Strong Testimonials OPRAVENO
- 3. Portfolio Filter Gallery OPRAVENO
- 4. Tutor LMS OPRAVENO
- 5. Login by Auth0 OPRAVENO
- 6. Htaccess by BestWebSoft OPRAVENO
- 7. Ultimate Membership Pro OPRAVENO
- 8. Event Manager & Events Manager Pro OPRAVENO
- 9. Profile Builder a Profile Builder Pro OPRAVENO
- 10. Participants Database OPRAVENO
- 11. GDPR Cookie Consent OPRAVENO
- 12. Ninja Form OPRAVENO
- 13. ThemeGrill Demo Importer OPRAVENO
- 14. SAML SP Single Sign On – SSO login OPRAVENO
- 15. wpCentral OPRAVENO
- 16. ThemeREX Addons OPRAVENO
- 17. Modula Image Gallery OPRAVENO
- 18. Duplicator OPRAVENO
- 19. Chained Quiz OPRAVENO
- 20. RegistrationMagic OPRAVENO
- 21. Photo Gallery by 10Web OPRAVENO
- 22. Envira Photo Gallery OPRAVENO
- 23. iThemes Sync Pro OPRAVENO
- Opravy šablon
Opravy pluginů
1. Elementor Page Builder OPRAVENO
![elementor](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/elementor-1-1024x476.png)
![elementor](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/elementor-1-1024x476.png)
Verze Elementer Page Builder verze 2.8.4 a nižší má chybu zabezpečení Authenticated Reflected Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.8.5.
2. Strong Testimonials OPRAVENO
![Strong Testimonials](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Strong-Testimonials-1-1.png)
![Strong Testimonials](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Strong-Testimonials-1-1.png)
![Strong Testimonials](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Strong-Testimonials-1-1.png)
Strong Testimonials verze 2.40.0 a nižší mají chybu zabezpečení Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.40.1.
3. Portfolio Filter Gallery OPRAVENO
![Portfolio Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Portfolio-Gallery-1.png)
![Portfolio Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Portfolio-Gallery-1.png)
![Portfolio Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Portfolio-Gallery-1.png)
Portfolio Filter Gallery verze 1.1.2 a nižší mají chybu Forgery s požadavkem na více stránek, která může vést k útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.3.
4. Tutor LMS OPRAVENO
![Tutor LMS](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Tutor-LMS-1.png)
![Tutor LMS](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Tutor-LMS-1.png)
![Tutor LMS](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Tutor-LMS-1.png)
Tutor LMS verze 1.5.2 a nižší jsou zranitelné vůči útoku na padělání na různých stránkách. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.3.
5. Login by Auth0 OPRAVENO
![Login by Auth0](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Login-by-Auth0-1.png)
![Login by Auth0](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Login-by-Auth0-1.png)
![Login by Auth0](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Login-by-Auth0-1.png)
Login by Auth0 verze 3.11.2 a nižší jsou zranitelné vůči neověřenému útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.11.3.
6. Htaccess by BestWebSoft OPRAVENO
![Htaccess by BestWebSoft](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Htaccess-by-BestWebSoft-1.png)
![Htaccess by BestWebSoft](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Htaccess-by-BestWebSoft-1.png)
![Htaccess by BestWebSoft](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Htaccess-by-BestWebSoft-1.png)
Htaccess by BestWebSoft verze 1.8.1 a nižší má chybu zabezpečení sfalšování na různých stránkách, která může vést k úpravě .htaccess útočníkem. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.2.
7. Ultimate Membership Pro OPRAVENO
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ultimate-Membership-Pro-1.png)
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ultimate-Membership-Pro-1.png)
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ultimate-Membership-Pro-1.png)
Verze Ultimate Membership Pro pod 8.6.1 mají několik slabých míst, které mohou vést k tomu, že uživatel s nižším oprávněním provede útok na vzdálené spuštění kódu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 8.7.
8. Event Manager & Events Manager Pro OPRAVENO
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Events-Manager-1.png)
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Events-Manager-1.png)
![Ultimate Membership Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Events-Manager-1.png)
Event Manager nižší verze než 5.9.7.2 a Events Manager Pro verze nižší než 2.6.7.2 jsou citlivé na útok CSV Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 5.9.7.2. a Pro na verzi 2.6.7.2.
9. Profile Builder a Profile Builder Pro OPRAVENO
![Profile Builder](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Profile-Builder-1.png)
![Profile Builder](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Profile-Builder-1.png)
![Profile Builder](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Profile-Builder-1.png)
Profile Builder a Profile Builder Pro verze nižší než 3.1.1 mají chybu zabezpečení, která umožňuje neautentizovaným uživatelům zaregistrovat nebo upravit svůj účet a získat roli správce pomocí formulářů pluginu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.1.1.
10. Participants Database OPRAVENO
![Participants Database](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Participants-Database-1.png)
![Participants Database](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Participants-Database-1.png)
![Participants Database](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Participants-Database-1.png)
Participants Database verze 1.9.5.5 a nižší jsou náchylné k útoku Authenticated SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.9.5.6.
11. GDPR Cookie Consent OPRAVENO
![GDPR Cookie Consen](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/GDPR-Cookie-Consen-1.png)
![GDPR Cookie Consen](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/GDPR-Cookie-Consen-1.png)
![GDPR Cookie Consen](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/GDPR-Cookie-Consen-1.png)
GDPR Cookie Consent verze 1.8.2 a nižší mají chybu zabezpečení, která by mohla uživateli nižší úrovně umožnit změnit stav příspěvku nebo stránky a mohla by vést k útoku skriptování mezi weby. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.3.
12. Ninja Form OPRAVENO
![Ninja Forms Contact Form](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ninja-Forms-Contact-Form-1.png)
![Ninja Forms Contact Form](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ninja-Forms-Contact-Form-1.png)
![Ninja Forms Contact Form](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Ninja-Forms-Contact-Form-1.png)
Verze Ninja Form 3.4.22.1 a nižší má více zranitelných míst pro ověřování uložených skriptů mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.4.23.
13. ThemeGrill Demo Importer OPRAVENO
![ThemeGrill Demo Importer](https://www.zanetamoudra.cz/wp-content/uploads/2020/02/ThemeGrill-Demo-Importer-1.png)
![ThemeGrill Demo Importer](https://www.zanetamoudra.cz/wp-content/uploads/2020/02/ThemeGrill-Demo-Importer-1.png)
![ThemeGrill Demo Importer](https://www.zanetamoudra.cz/wp-content/uploads/2020/02/ThemeGrill-Demo-Importer-1.png)
ThemeGrill Demo Importer verze 1.6.1 a nižší mají chybu zabezpečení, která by umožnila neověřenému uživateli vymazat celou databázi. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.6.2.
14. SAML SP Single Sign On – SSO login OPRAVENO
![SAML SP Single Sign On](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/SAML-SP-Single-Sign-On-1.png)
![SAML SP Single Sign On](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/SAML-SP-Single-Sign-On-1.png)
![SAML SP Single Sign On](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/SAML-SP-Single-Sign-On-1.png)
SAML SP Single Sign On verze 4.8.83 a nižší jsou zranitelné útokem skriptování mezi servery. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.8.84.
15. wpCentral OPRAVENO
![wpCentral](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/wpCentral-1.png)
![wpCentral](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/wpCentral-1.png)
![wpCentral](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/wpCentral-1.png)
Verze wpCentral verze 1.5.1 a nižší má chybnou kontrolu přístupu, která zvyšuje zranitelnost eskalace oprávnění. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.2.
16. ThemeREX Addons OPRAVENO
![ThemeREX Addons](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/ThemeREX-Addons-1.png)
![ThemeREX Addons](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/ThemeREX-Addons-1.png)
![ThemeREX Addons](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/ThemeREX-Addons-1.png)
ThemeRex Addons verze 1.6.50 a vyšší mají chybu zabezpečení. Chyby zabezpečení byly opraveny, aktualizujte na opravnou verzi.
17. Modula Image Gallery OPRAVENO
![Modula Image Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Modula-Image-Gallery-1.png)
![Modula Image Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Modula-Image-Gallery-1.png)
![Modula Image Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Modula-Image-Gallery-1.png)
Modula Image Gallery verze 2.2.4 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.2.5.
18. Duplicator OPRAVENO
![Duplicator](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Duplicator-1.png)
![Duplicator](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Duplicator-1.png)
![Duplicator](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Duplicator-1.png)
Verze duplikátoru 1.3.26 a nižší mají zranitelnost neověřeného stahování libovolných souborů. O pluginu píšu zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.3.28.
19. Chained Quiz OPRAVENO
![kiboko](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/kiboko-1.png)
![kiboko](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/kiboko-1.png)
![kiboko](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/kiboko-1.png)
Chained Quiz od Kiboko Labs verze 1.1.9 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.9.1.
20. RegistrationMagic OPRAVENO
![RegistrationMagic](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/RegistrationMagic-1.png)
![RegistrationMagic](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/RegistrationMagic-1.png)
![RegistrationMagic](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/RegistrationMagic-1.png)
RegistrationMagic verze 4.6.0.1 a nižší mají více zranitelností skriptování mezi weby a ověřitelnou chybu SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.6.0.3.
21. Photo Gallery by 10Web OPRAVENO
![Photo Gallery by 10Web](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Photo-Gallery-by-10Web-1.png)
![Photo Gallery by 10Web](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Photo-Gallery-by-10Web-1.png)
![Photo Gallery by 10Web](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Photo-Gallery-by-10Web-1.png)
Fotogalerie verze 1.5.45 a nižší má více zranitelností skriptování mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.46.
22. Envira Photo Gallery OPRAVENO
![Envira Photo Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Envira-Photo-Gallery-1.png)
![Envira Photo Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Envira-Photo-Gallery-1.png)
![Envira Photo Gallery](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Envira-Photo-Gallery-1.png)
Envira Photo Gallery ve verzi 1.7.6 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.7.7.
23. iThemes Sync Pro OPRAVENO
![iThemes Sync Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/iThemes-Sync-Pro-1.png)
![iThemes Sync Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/iThemes-Sync-Pro-1.png)
![iThemes Sync Pro](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/iThemes-Sync-Pro-1.png)
iThemes Sync Pro verze nižší než 2.1.3 má chybu v požadavku na ověření. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.1.3.
Opravy šablon
1. Reality OPRAVENO
![Reality](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Reality-1.png)
![Reality](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Reality-1.png)
![Reality](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/Reality-1.png)
Verze šablony Reality 2.5.1 a nižší jsou zranitelné vůči neověřenému útoku skriptování. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.5.2.
2. Fruitful OPRAVENO
![fruitful](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/fruitful-1.png)
![fruitful](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/fruitful-1.png)
![fruitful](https://www.zanetamoudra.cz/wp-content/uploads/2020/03/fruitful-1.png)
Šablona Fruitful verze 3.8 a nižší je zranitelná vůči neověřenému útoku skriptování. Šablonu odinstalujte – vývojáři na ohlášenou chybu nereagují. AKTUALIZACE: šablona byla opravena ve verzi 3.8.2.
Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostí: služby > údržba WordPress.