Únor byl na opravy zabezpečení v pluginech a tématech WordPressu bohatý. Níže uvádím jejich souhrn (podle https://ithemes.com/ ) – zkontrolujte si, zda některý z nich používáte na svém webu a zda je aktualizovaný.
- Opravy pluginů
- 1. Elementor Page Builder OPRAVENO
- 2. Strong Testimonials OPRAVENO
- 3. Portfolio Filter Gallery OPRAVENO
- 4. Tutor LMS OPRAVENO
- 5. Login by Auth0 OPRAVENO
- 6. Htaccess by BestWebSoft OPRAVENO
- 7. Ultimate Membership Pro OPRAVENO
- 8. Event Manager & Events Manager Pro OPRAVENO
- 9. Profile Builder a Profile Builder Pro OPRAVENO
- 10. Participants Database OPRAVENO
- 11. GDPR Cookie Consent OPRAVENO
- 12. Ninja Form OPRAVENO
- 13. ThemeGrill Demo Importer OPRAVENO
- 14. SAML SP Single Sign On – SSO login OPRAVENO
- 15. wpCentral OPRAVENO
- 16. ThemeREX Addons OPRAVENO
- 17. Modula Image Gallery OPRAVENO
- 18. Duplicator OPRAVENO
- 19. Chained Quiz OPRAVENO
- 20. RegistrationMagic OPRAVENO
- 21. Photo Gallery by 10Web OPRAVENO
- 22. Envira Photo Gallery OPRAVENO
- 23. iThemes Sync Pro OPRAVENO
- Opravy šablon
Opravy pluginů
1. Elementor Page Builder OPRAVENO
Verze Elementer Page Builder verze 2.8.4 a nižší má chybu zabezpečení Authenticated Reflected Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.8.5.
2. Strong Testimonials OPRAVENO
Strong Testimonials verze 2.40.0 a nižší mají chybu zabezpečení Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.40.1.
3. Portfolio Filter Gallery OPRAVENO
Portfolio Filter Gallery verze 1.1.2 a nižší mají chybu Forgery s požadavkem na více stránek, která může vést k útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.3.
4. Tutor LMS OPRAVENO
Tutor LMS verze 1.5.2 a nižší jsou zranitelné vůči útoku na padělání na různých stránkách. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.3.
5. Login by Auth0 OPRAVENO
Login by Auth0 verze 3.11.2 a nižší jsou zranitelné vůči neověřenému útoku Reflected XSS. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.11.3.
6. Htaccess by BestWebSoft OPRAVENO
Htaccess by BestWebSoft verze 1.8.1 a nižší má chybu zabezpečení sfalšování na různých stránkách, která může vést k úpravě .htaccess útočníkem. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.2.
7. Ultimate Membership Pro OPRAVENO
Verze Ultimate Membership Pro pod 8.6.1 mají několik slabých míst, které mohou vést k tomu, že uživatel s nižším oprávněním provede útok na vzdálené spuštění kódu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 8.7.
8. Event Manager & Events Manager Pro OPRAVENO
Event Manager nižší verze než 5.9.7.2 a Events Manager Pro verze nižší než 2.6.7.2 jsou citlivé na útok CSV Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 5.9.7.2. a Pro na verzi 2.6.7.2.
9. Profile Builder a Profile Builder Pro OPRAVENO
Profile Builder a Profile Builder Pro verze nižší než 3.1.1 mají chybu zabezpečení, která umožňuje neautentizovaným uživatelům zaregistrovat nebo upravit svůj účet a získat roli správce pomocí formulářů pluginu. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.1.1.
10. Participants Database OPRAVENO
Participants Database verze 1.9.5.5 a nižší jsou náchylné k útoku Authenticated SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.9.5.6.
11. GDPR Cookie Consent OPRAVENO
GDPR Cookie Consent verze 1.8.2 a nižší mají chybu zabezpečení, která by mohla uživateli nižší úrovně umožnit změnit stav příspěvku nebo stránky a mohla by vést k útoku skriptování mezi weby. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.3.
12. Ninja Form OPRAVENO
Verze Ninja Form 3.4.22.1 a nižší má více zranitelných míst pro ověřování uložených skriptů mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.4.23.
13. ThemeGrill Demo Importer OPRAVENO
ThemeGrill Demo Importer verze 1.6.1 a nižší mají chybu zabezpečení, která by umožnila neověřenému uživateli vymazat celou databázi. O chybě jsem psala zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.6.2.
14. SAML SP Single Sign On – SSO login OPRAVENO
SAML SP Single Sign On verze 4.8.83 a nižší jsou zranitelné útokem skriptování mezi servery. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.8.84.
15. wpCentral OPRAVENO
Verze wpCentral verze 1.5.1 a nižší má chybnou kontrolu přístupu, která zvyšuje zranitelnost eskalace oprávnění. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.2.
16. ThemeREX Addons OPRAVENO
ThemeRex Addons verze 1.6.50 a vyšší mají chybu zabezpečení. Chyby zabezpečení byly opraveny, aktualizujte na opravnou verzi.
17. Modula Image Gallery OPRAVENO
Modula Image Gallery verze 2.2.4 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.2.5.
18. Duplicator OPRAVENO
Verze duplikátoru 1.3.26 a nižší mají zranitelnost neověřeného stahování libovolných souborů. O pluginu píšu zde. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.3.28.
19. Chained Quiz OPRAVENO
Chained Quiz od Kiboko Labs verze 1.1.9 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.1.9.1.
20. RegistrationMagic OPRAVENO
RegistrationMagic verze 4.6.0.1 a nižší mají více zranitelností skriptování mezi weby a ověřitelnou chybu SQL Injection. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.6.0.3.
21. Photo Gallery by 10Web OPRAVENO
Fotogalerie verze 1.5.45 a nižší má více zranitelností skriptování mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.5.46.
22. Envira Photo Gallery OPRAVENO
Envira Photo Gallery ve verzi 1.7.6 a nižší má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.7.7.
23. iThemes Sync Pro OPRAVENO
iThemes Sync Pro verze nižší než 2.1.3 má chybu v požadavku na ověření. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.1.3.
Opravy šablon
1. Reality OPRAVENO
Verze šablony Reality 2.5.1 a nižší jsou zranitelné vůči neověřenému útoku skriptování. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.5.2.
2. Fruitful OPRAVENO
Šablona Fruitful verze 3.8 a nižší je zranitelná vůči neověřenému útoku skriptování. Šablonu odinstalujte – vývojáři na ohlášenou chybu nereagují. AKTUALIZACE: šablona byla opravena ve verzi 3.8.2.
Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostí: služby > údržba WordPress.
