Chiamaci Mandaci una email WhatsApp Messenger

E-TERNA – Web Agency a Mestre Venezia

Vulnerabilità WordPress gennaio 2020

Questo nuovo anno e questo nuovo decennio cominciano non molto bene dal punto di vista della sicurezza WordPress, sono infatti molte le vulnerabilità WordPress a gennaio 2020. Già nei primi dieci giorni dell’anno sono molte le vulnerabilità ormai note e coinvolgono soprattutto plugin anche molto utilizzati.

Se siete interessati agli aggiornamenti potreste mettere un piace alla nostra pagina Facebook o iscrivervi alle notifiche di questo sito web.

Di seguito riportiamo le vulnerabilità note ad oggi a partire dall’inizio di gennaio 2020, se nel vostro sito web WordPress sono installati e attivi questi plugin, vi consigliamo di aggiornare immediatamente, per ogni plugin affetto da qualche vulnerabilità nota, indichiamo anche la soluzione o la versione del plugin in cui è stato risolto il problema di sicurezza segnalato.

Plugin: Calculated Fields Form < 1.0.354
Tipo: Authenticated Stored XSS Issues
Soluzione: Aggiornare alla versione 1.0.354

Plugin: Contact Form Clean and Simple <= 4.7.0
Tipo: Authenticated Stored XSS
Soluzione: la vulnerabilità non è ancora stata corretta

Plugin: Ultimate Member < 2.1.3
Tipo: IDOR, Insecure Direct Object Reference
Soluzione: Aggiornare alla versione 2.1.3

Plugin: AccessAlly < 3.3.2
Tipo: utilizzando la funzione login_error è possibile l’esecuzione di codice php arbitrario.
Soluzione: Aggiornare alla versione 3.3.2

Plugin: WP Accessibility < 1.7.0
Tipo: Authenticated Stored XSS in custom CSS, vulnerabilità di tipo minore.
Soluzione: Aggiornare alla versione 1.7.0

Plugin: Chatbot with IBM Watson < 0.8.21
Tipo: Self-XSS, DOM Cross-Site Scripting
Soluzione: Aggiornare alla versione 0.8.21

Plugin: 2J SlideShow < 1.3.40
Tipo: Authenticated Arbitrary Plugin Deactivation
Soluzione: Aggiornare alla versione 1.3.40

Plugin: Contextual Adminbar Color < 0.3
Tipo: Authenticated Stored Cross-Site Scripting Issue
Soluzione: Aggiornare alla versione 0.3

Plugin: Batch-Move Posts <= 1.5
Tipo: Broken Authentication leading to Unauthenticated Stored XSS
Soluzione: attualmente non disponibile

Plugin: Marketo Forms and Tracking <= 1.0.2
Tipo: CSRF to XSS
Soluzione: attualmente non disponibile

Plugin: Chained Quiz < 1.1.8.2
Tipo: Reflected XSS
Soluzione: Aggiornare alla versione 1.1.8.2

Plugin: WP Database Reset < 3.15
Tipo: Unauthenticated Database Reset + Privilege Escalation
Soluzione: Aggiornare alla versione 3.15

Plugin: LearnDash < 3.1.2
Tipo: Problemi Reflected Cross Site Scripting (XSS) nel campo dei ricerca Id_profile
Soluzione: Aggiornare alla versione 3.1.2

Plugin: ListingPro < 2.5.4
Tipo: Unauthenticated Reflected XSS
Soluzione: Aggiornare alla versione 2.5.4

Plugin: Real Estate 7 < 2.9.5
Tipo: Vulnerabilità multiple – Unauthenticated Reflected XSS, Authenticated Persistent XSS
Soluzione: Aggiornare alla versione 2.9.5

Plugin: Travel Booking < 2.7.8.6
Tipo: Reflected & Persistent XSS
Soluzione: Aggiornare alla versione 2.7.8.6

Plugin: Computer Repair Shop < 2.0
Tipo: Authenticated Stored XSS
Soluzione: Aggiornare alla versione 2.0

Plugin: Video on Admin Dashboard < 1.1.4
Tipo: Authenticated Stored XSS
Soluzione: Aggiornare alla versione 1.1.4

Plugin: EasyBook < 1.2.2
Tipo: Vulnerabilità multiple – Unauthenticated Reflected XSS, Authenticated Persistent XSS
Soluzione: Aggiornare alla versione 1.2.2

Plugin: TablePress < 1.10
Tipo: CSV Injection
Soluzione: Aggiornare alla versione 1.10

Plugin: TownHub < 1.0.6
Tipo: Vulnerabilità multiple
Soluzione: Aggiornare alla versione 1.0.6

Plugin: WooCommerce – Store Exporter < 2.4
Tipo: CSV Injection
Soluzione: Aggiornare alla versione 2.4

Plugin: CityBook < 2.3.4
Tipo: Vulnerabilità multiple
Soluzione: Aggiornare alla versione 2.3.4

Plugin: Ultimate Auction < 4.0.6
Tipo: CSRF e XSS multipli
Soluzione: Aggiornare alla versione 4.0.6

Plugin: InfiniteWP Client < 1.9.4.5
Tipo: Authentication Bypass
Soluzione: Aggiornare alla versione 1.9.4.5

Plugin: Backup and Staging by WP Time Capsule < 1.21.16
Tipo: Authentication Bypass
Soluzione: Aggiornare alla versione 1.21.16

Plugin: Minimal Coming Soon & Maintenance Mode < 2.17
Tipo: Insecure permissions: Export Settings/Theme Change
Soluzione: Aggiornare alla versione 2.17

Plugin: Minimal Coming Soon & Maintenance Mode < 2.15
Tipo: CSRF to Stored XSS and Setting Changes
Tipo: Insecure Permissions: Enable and Disable Maintenance Mode
Soluzione: Aggiornare alla versione 2.15 o successiva

WordPress Core: WordPress <= 5.3
Tipo: wp_kses_bad_protocol() Colon Bypass
Soluzione: In base alle versione di WordPress utilizzata aggiornare all’ultima versione disponibile corrispondente.

  • 5.3 aggiornare alla versione 5.3.1
  • 5.2.x aggiornare alla versione 5.2.5
  • 5.1.x aggiornare alla versione 5.1.4
  • 5.0.x aggiornare alla versione 5.0.8
  • 4.9.x aggiornare alla versione 4.9.13
  • 4.8.x aggiornare alla versione 4.8.12
  • La stessa cosa vale per le versioni precedenti alla 4.8

Tema: Ultimate FAQ < 1.8.30
Tipo: Unauthenticated Reflected XSS
Soluzione: Aggiornare alla versione 1.8.30

Tema: WP Simple Spreadsheet Fetcher For Google < 0.3.7
Tipo: Arbitrary API Key update via CSRF
Soluzione: ggiornare alla versione 0.3.7

Plugin: Import Users From CSV with Meta 1.15
Tipo: Esportazione degli utenti non autorizzata
Soluzione: Aggiornare alla versione 1.15.0.1 o successiva

Plugin: Postie <= 1.9.40
Tipo: Post Submission Spoofing e Stored XSS
Soluzione: al momento non nota

Plugin: WooCommerce Conversion Tracking < 2.0.5
Tipo: CSRF to XSS
Soluzione: Aggiornare alla versione 2.0.5

Plugin: ElegantThemes (divi, extra, divi-builder < 4.0.10)
Tipo: Authenticated Code Injection
Soluzione: Aggiornare alla versione 4.0.10

Se vuoi avere maggiori informazioni e saperne un po’ di più puoi leggere il nostro articolo sui 5 principali tipi di attacco ad un sito web

SERVE AIUTO?
CONTATTACI