Sebezhető bővítmények – 2017 január
Így elmondhatom, hogy talán ez az év lesz a “vízválasztó”. Minden magára hagyott WordPress honlap “vírusfertőzést szed majd össze”, ha nincs szakszerűen felkészítve egy esetleges vírustámadásra.
Most történik: Tömeges WordPress vírusfertőzések
Nálam ég a forró drót és sorra érkeznek a bejelentések vírusos honlapokról. Kérlek ha lehet, ne csak akkor szólj nekem amikor már a Google is vírusosnak jelzi a honlapot meglátogatva.
Gondolkodj előre és védd a honlapodat a szakszerű felkészítéssel és rendszeres felügyelettel/frissítéssel/biztonsági mentéssel!
Most nézzük milyen sebezhetőségeket hozott az év első hónapja:
Ezekre a bővítményekre / WP verziókra kellett figyelned 2017. januárban:
- FormBuilder 1.0.7 és korábbi verziók (CSRF + MA SQL Injection)
- InfiniteWP Client 1.6.0 és korábbi verziók – (Unauthenticated PHP Object Injection)
- CMS Commander Client 2.21 és korábbi verziók – (Unauthenticated PHP Object Injection)
- Stop User Enumeration 1.3.4 és korábbi verziók
- Stop User Enumeration 1.3.5-1.3.7 – (XSS sebezhetőség)
- Google Forms 0.84-0.87 – (Unauthenticated PHP Object Injection)
- Responsive Poll 1.6.4,1.7.4 – (XSS és CSRF sebezhetőség)
- WordPress verziókat érintő sebezhetőségek:
- 2017. január 13-án publikált sebezhetőségek:
- WordPress 4.3-4.7 – Potential Remote Command Execution (RCE) in PHPMailer
- WordPress 4.7 – User Information Disclosure via REST API
- WordPress 2.9-4.7 – Authenticated Cross-Site scripting (XSS) in update-core.php
- WordPress 4.7 – Cross-Site Request Forgery (CSRF) via Flash Upload
- WordPress 3.4-4.7 – Stored Cross-Site Scripting (XSS) via Theme Name fallback
- WordPress 4.7 és korábbi verziók – Post via Email Checks mail.example.com by Default
- WordPress 2.8-4.7 – Accessibility Mode Cross-Site Request Forgery (CSRF)
- WordPress 3.0-4.7 – Cryptographically Weak Pseudo-Random Number Generator (PRNG)
- 2017. január 27-én publikált sebezhetőségek:
- WordPress 4.2.0-4.7.1 – Press This UI Available to Unauthorised Users
- WordPress 3.5-4.7.1 – WP_Query SQL Injection
- WordPress 4.3.0-4.7.1 – Cross-Site Scripting (XSS) in posts list table
- 2017. február 1.
- WordPress 4.7.0-4.7.1 – (Unauthenticated Page/Post Content Modification )
- 2017. január 13-án publikált sebezhetőségek:
- 404 Redirection Manager 1.0 – (SQL injection)
- Direct Download for WooCommerce 1.15 és korábbi verziók – (Unauthenticated LFI)
- WangGuard 1.7.2 és korábbi verziók – (Authenticated Reflected Cross-Site Scripting)