Sebezhető bővítmények – 2017 január

Megjelent: 2017.02.01.

Sebezhető bővítmények – 2017 január

Már javában “tombol” a 2017-es év. Szólók mindazokhoz akiknek a honlapja nincs rendszeresen karbantartva és felügyelve/frissítve – vagy akár gyenge a webtárhely kiszolgálójának védelme. Hiszen honlapjuk védelmét 50%-ban a jól konfigurált webszerver biztosítja.

Így elmondhatom, hogy talán ez az év lesz a “vízválasztó”. Minden magára hagyott WordPress honlap “vírusfertőzést szed majd össze”, ha nincs szakszerűen felkészítve egy esetleges vírustámadásra.

 

Most történik: Tömeges WordPress vírusfertőzések

Nálam ég a forró drót és sorra érkeznek a bejelentések vírusos honlapokról. Kérlek ha lehet, ne csak akkor szólj nekem amikor már a Google is vírusosnak jelzi a honlapot meglátogatva.

Gondolkodj előre és védd a honlapodat a szakszerű felkészítéssel és rendszeres felügyelettel/frissítéssel/biztonsági mentéssel!

 

Most nézzük milyen sebezhetőségeket hozott az év első hónapja:

Ezekre a bővítményekre / WP verziókra kellett figyelned 2017. januárban:

  • FormBuilder 1.0.7 és korábbi verziók (CSRF + MA SQL Injection)
  • InfiniteWP Client 1.6.0 és korábbi verziók – (Unauthenticated PHP Object Injection)
  • CMS Commander Client 2.21 és korábbi verziók – (Unauthenticated PHP Object Injection)
  • Stop User Enumeration 1.3.4 és korábbi verziók
    • Stop User Enumeration 1.3.5-1.3.7 – (XSS sebezhetőség)
  • Google Forms 0.84-0.87 – (Unauthenticated PHP Object Injection)
  • Responsive Poll 1.6.4,1.7.4 – (XSS és CSRF sebezhetőség)
  • WordPress verziókat érintő sebezhetőségek:
    • 2017. január 13-án publikált sebezhetőségek:
      • WordPress 4.3-4.7 – Potential Remote Command Execution (RCE) in PHPMailer
      • WordPress 4.7 – User Information Disclosure via REST API
      • WordPress 2.9-4.7 – Authenticated Cross-Site scripting (XSS) in update-core.php
      • WordPress 4.7 – Cross-Site Request Forgery (CSRF) via Flash Upload
      • WordPress 3.4-4.7 – Stored Cross-Site Scripting (XSS) via Theme Name fallback
      • WordPress 4.7 és korábbi verziók – Post via Email Checks mail.example.com by Default
      • WordPress 2.8-4.7 – Accessibility Mode Cross-Site Request Forgery (CSRF)
      • WordPress 3.0-4.7 – Cryptographically Weak Pseudo-Random Number Generator (PRNG)
    • 2017. január 27-én publikált sebezhetőségek:
      • WordPress 4.2.0-4.7.1 – Press This UI Available to Unauthorised Users
      • WordPress 3.5-4.7.1 – WP_Query SQL Injection
      • WordPress 4.3.0-4.7.1 – Cross-Site Scripting (XSS) in posts list table
    • 2017. február 1.
      • WordPress 4.7.0-4.7.1 – (Unauthenticated Page/Post Content Modification )
  • 404 Redirection Manager 1.0 – (SQL injection)
  • Direct Download for WooCommerce 1.15 és korábbi verziók – (Unauthenticated LFI)
  • WangGuard 1.7.2 és korábbi verziók – (Authenticated Reflected Cross-Site Scripting)

 

Engedd át nekem a WordPress problémáidat!

Szeretnéd, hogy a WordPress weboldalad 
rendszeresen legyen felügyelve és karbantartva?

Igen, szeretném!