Los informes de vulnerabilidad y las divulgaciones responsables son esenciales para la concienciación y la educación sobre la seguridad de los sitios web. Los ataques automatizados dirigidos a vulnerabilidades de software conocidas son una de las principales causas de compromisos de sitios web.
Para ayudar a educar a los propietarios de sitios web sobre las amenazas emergentes a sus entornos, compilamos una lista de actualizaciones de seguridad importantes y parches de vulnerabilidad para el ecosistema de WordPress.
Creador de sitios web de Elementor: inyección de SQL
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: Inyección SQL
Número de instalaciones: 5,000,000+
Software afectado: Elementor <= 3.12.1
Versiones parcheadas: Elementor 3.12.2
Pasos de mitigación: Actualice al complemento Elementor Website Builder versión 3.12.2 o superior.
Campos personalizados avanzados: inyección de objetos PHP
Riesgo de seguridad: nivel de explotación alto : requiere autenticación de colaborador o de nivel superior.
Vulnerabilidad: vulnerabilidad de inyección de objetos PHP
Número de instalaciones: más de 2 000 000
Software afectado: campos personalizados avanzados (ACF) <= 6.0.9
Versiones parcheadas: campos personalizados avanzados (ACF) 6.1.0
Pasos de mitigación: Actualizar a la versión 6.1.0 o superior del complemento Advanced Custom Fields .
Optimización automática – Cross Site Scripting (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: Cross Site Scripting (XSS)
Número de instalaciones: 1 000 000+
Software afectado: Autoptimize <= 3.1.6
Versiones parcheadas: Autoptimize 3.1.7
Pasos de mitigación: Actualizar a Autoptimize plugin versión 3.1.7 o superior.
All In One WP Security & Firewall: secuencias de comandos almacenadas en sitios cruzados (XSS)
Riesgo de seguridad: Nivel de explotación medio : Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-0157
Número de instalaciones: 1,000,000+
Software afectado: All In One WP Security & Firewall <= 5.1.4
Versiones parcheadas: All In One WP Seguridad y cortafuegos 5.1.5
Pasos de mitigación: Actualice al complemento All In One WP Security & Firewall versión 5.1.5 o superior.
Límite de intentos de inicio de sesión: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: alto nivel de explotación: no se necesita autenticación.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-1861
Número de instalaciones: 600 000+
Software afectado: Límite de intentos de inicio de sesión <= 1.7.1
Versiones parcheadas: Límite de intentos de inicio de sesión 1.7.2
Pasos de mitigación: actualización para limitar los intentos de inicio de sesión del complemento versión 1.7.2 o superior.
Formator – Control de acceso roto
Riesgo de seguridad: nivel de explotación bajo : se requiere autenticación de suscriptor o de nivel superior.
Vulnerabilidad: control de acceso roto
Número de instalaciones: más de 400 000
Software afectado: Forminator <= 1.23.2
Versiones parcheadas: Forminator 1.23.3
Pasos de mitigación: Actualizar a la versión 1.23.3 o superior del complemento de Forminator.
FluentForm: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de colaborador o de nivel superior.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-0546
Número de instalaciones: 300 000+
Software afectado: FluentForm <= 4.3.24
Versiones parcheadas: FluentForm 4.3.25
Pasos de mitigación: actualice a la versión 4.3.25 o superior del complemento FluentForm .
Galería de fotos por 10Web – Directory Traversal
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: Directory Traversal
CVE: CVE-2023-1427
Número de instalaciones: más de 200 000
Software afectado: Photo Gallery by 10Web <= 1.8.14
Versiones parcheadas: Photo Gallery by 10Web 1.8.15
Pasos de mitigación: Actualización a la Galería de fotos por 10Web: versión 1.8.15 o superior del complemento de la Galería de imágenes compatible con dispositivos móviles.
SEOPress – Inyección de objetos PHP
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: inyección de objetos PHP
Número de instalaciones: más de 200 000
Software afectado: SEOPress <= 6.5.0.2
Versiones parcheadas: SEOPress 6.5.0.3
Pasos de mitigación: actualice a la versión 6.5.0.3 o superior del complemento SEOPress .
Cyr a Lat Mejorado – Inyección SQL
Riesgo de seguridad: Alta
Vulnerabilidad: Inyección SQL
CVE: CVE-2022-4290
Número de instalaciones: Más de 100 000
Software afectado: Cyr to Lat Enhanced <= 3.6
Versiones parcheadas: Cyr to Lat Enhanced 3.7
Pasos de mitigación: Actualizar a Cyr to Lat Enhanced plugin versión 3.7 o superior.
Blocksy Companion: exposición de datos confidenciales
Riesgo de seguridad: nivel de explotación bajo : requiere autenticación de suscriptor o de nivel superior.
Vulnerabilidad: exposición de datos confidenciales
CVE: CVE-2023-1911
Número de instalaciones: más de 100 000
Software afectado: Blocksy Companion <= 1.8.81
Versiones parcheadas: Blocksy Companion 1.8.82
Pasos de mitigación: actualice a la versión 1.8.82 o posterior del complemento Blocksy Companion .
Colibrí – Camino transversal
Riesgo de seguridad: alto nivel de explotación: no se requiere autenticación.
Vulnerabilidad: Path Traversal
CVE: CVE-2023-1478
Número de instalaciones: 100 000+
Software afectado: Hummingbird <= 3.4.1
Versiones parcheadas: Hummingbird 3.4.2
Pasos de mitigación: Actualizar a la versión 3.4.2 o superior del complemento Hummingbird .
Slimstat Analytics – Inyección SQL
Riesgo de seguridad: nivel de explotación alto : se requiere autenticación de suscriptor o de nivel superior.
Vulnerabilidad: inyección SQL
Número de instalaciones: más de 100 000
Software afectado: Slimstat Analytics <= 4.9.3
Versiones parcheadas: Slimstat Analytics 4.9.4
Pasos de mitigación: actualice a la versión 4.9.4 o superior del complemento Slimstat Analytics .
Formularios fáciles para MailChimp – XSS reflejado
Riesgo de seguridad: Nivel de explotación medio : No se requiere autenticación.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-1324
Número de instalaciones: 100 000+
Software afectado: Easy Forms para Mailchimp <= 6.8.7
Versiones parcheadas: Easy Forms para Mailchimp 6.8.8
Pasos de mitigación: actualice a Easy Forms para el complemento Mailchimp versión 6.8.8 o superior.
Bloques esenciales para Gutenberg: control de acceso roto
Riesgo de seguridad: Nivel de explotación medio : No se requiere autenticación.
Vulnerabilidad: control de acceso roto
CVE: CVE-2023-2084
Número de instalaciones: más de 80 000
Software afectado: Essential Blocks <= 4.0.6
Versiones parcheadas: Essential Blocks 4.0.7
Pasos de mitigación: Actualizar a Essential Blocks para el complemento Gutenberg versión 4.0.7 o superior.
Ninja Tables – Cross Site Scripting (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere la autenticación del administrador.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2022-47137
Número de instalaciones: 80 000+
Software afectado: Ninja Tables: el mejor complemento de tabla de datos para WordPress <= 4.3.4
Versiones parcheadas: Ninja Tables: el mejor complemento de tabla de datos para WordPress 4.3.5
Pasos de mitigación: Actualizar a Ninja Tables: el mejor complemento de tabla de datos para el complemento de WordPress versión 4.3.5 o superior.
Ajax Search Lite: secuencias de comandos reflejadas entre sitios (XSS)
Riesgo de seguridad: Nivel de explotación medio : No se requiere autenticación.
Vulnerabilidad: Cross-Site Scripting (XSS) reflejado
CVE: CVE-2023-1420
Número de instalaciones: 70 000+
Software afectado: Ajax Search Lite <= 4.11.0
Versiones parcheadas: Ajax Search Lite 4.11.1
Pasos de mitigación: actualice a la versión 4.11.1 o superior del complemento Ajax Search Lite .
Vista de página de árbol de CMS: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: alto nivel de explotación: no se requiere autenticación.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-30868
Número de instalaciones: 70 000+
Software afectado: CMS Tree Page View <= 1.6.7
Versiones parcheadas: CMS Tree Page View 1.6.8
Pasos de mitigación: Actualizar a la versión 1.6.8 o posterior del complemento CMS Tree Page View .
TaxoPress: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere editor o autenticación superior.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-2168
Número de instalaciones: 70 000+
Software afectado: TaxoPress <= 3.6.4
Versiones parcheadas: TaxoPress 3.6.5
Pasos de mitigación: actualice a la versión 3.6.5 o superior del complemento TaxoPress .
Registro de usuario: control de acceso roto
Riesgo de seguridad: Nivel de explotación medio : No se requiere autenticación.
Vulnerabilidad: Control de acceso roto
CVE: CVE-2023-29429
Número de instalaciones: 60 000+
Software afectado: Registro de usuario <= 2.3.2
Versiones parcheadas: Registro de usuario 2.3.3
Pasos de mitigación: actualización del complemento de registro de usuario versión 2.3.3 o superior.
Esteroides OoohBoi para Elementor – Control de acceso roto
Riesgo de seguridad: nivel de explotación medio : se requiere autenticación de suscriptor o de nivel superior.
Vulnerabilidad: Control de acceso roto
CVE: CVE-2023-1169
Número de instalaciones: 60 000+
Software afectado: Esteroides OoohBoi para Elementor <= 2.1.4
Versiones parcheadas: Esteroides OoohBoi para Elementor 2.1.5
Pasos de mitigación: actualice a OoohBoi Steroids para el complemento Elementor versión 2.1.5 o superior.
Amelia: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: alto nivel de explotación: no se requiere autenticación.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-29427
Número de instalaciones: 50 000+
Software afectado: Amelia <= 1.0.75
Versiones parcheadas: Amelia 1.0.76
Pasos de mitigación: actualice a la versión 1.0.76 o superior del complemento de Amelia .
PowerPress Podcasting: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de colaborador o de nivel superior.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2023-30778
Número de instalaciones: 50 000+
Software afectado: PowerPress Podcasting plugin de Blubrry <= 10.0.1
Versiones parcheadas: PowerPress Podcasting plugin de Blubrry 10.0.2
Pasos de mitigación: Actualizar al complemento PowerPress Podcasting de Blubrry versión 10.0.2 o superior.
Widget de Maps para Google Maps: secuencias de comandos entre sitios almacenadas
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: Cross-Site Scripting
CVE: CVE-2023-1913
Número de instalaciones: 50 000+
Software afectado: Maps Widget para Google Maps <= 4.24
Versiones parcheadas: Maps Widget para Google Maps 4.25
Pasos de mitigación: Actualizar a Maps Widget para el complemento de Google Maps versión 4.25 o superior.
Editor visual de estilos CSS: secuencias de comandos entre sitios (XSS)
Riesgo de seguridad: nivel de explotación medio : requiere autenticación de administrador.
Vulnerabilidad: Cross Site Scripting (XSS)
CVE: CVE-2022-33961
Número de instalaciones: 50 000+
Software afectado: Visual CSS Style Editor <= 7.5.8
Versiones parcheadas: Visual CSS Style Editor 7.5.9
Pasos de mitigación: actualice al complemento Visual CSS Style Editor versión 7.5.9 o superior.
MapPress Maps para WordPress – Inyección SQL autenticada
Riesgo de seguridad: nivel de explotación alto : requiere autenticación de colaborador o de nivel superior.
Vulnerabilidad: inyección SQL autenticada
CVE: CVE-2023-26015
Número de instalaciones: más de 50 000
Software afectado: MapPress Maps for WordPress <= 2.85.4
Versiones parcheadas: MapPress Maps for WordPress 2.85.5
Pasos de mitigación: actualice a MapPress Maps para el complemento de WordPress versión 2.85.5 o superior.
Actualice el software de su sitio web para mitigar el riesgo. Se recomienda a los usuarios que no puedan actualizar su software con la última versión que utilicen un firewall de aplicaciones web para ayudar a parchear virtualmente las vulnerabilidades conocidas y proteger su sitio web.
0 comentarios