Temas y complementos de WordPress vulnerables

Publicado: 2021-09-07

Introducción :

La razón principal por la que un sitio web de WordPress es pirateado es debido a complementos y temas vulnerables. Estos complementos o temas vulnerables dañan el sitio web, lo que lo hace propenso a los piratas informáticos. Un sitio web pirateado puede causar problemas graves como ransomware y violaciones de datos, lo que resulta en una pérdida financiera para la marca.

En este informe, mencionamos los complementos y temas vulnerables actualmente activos a partir de agosto de 2021. Cada complemento o tema tendrá una calificación Baja, Media, Alta o Crítica según la gravedad.

En la sección a continuación, hemos mencionado los nombres de cada complemento y tema que pueden causar problemas importantes en su sitio web. Cada complemento o tema incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.

Complemento: 1. rucy

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Gravedad: Media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 2. WP-Fondos Lite

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 3. Pregunta de seguridad de WP

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 4. Evento Espresso 4 Decaf - Registro de eventos Venta de entradas de eventos

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 5. Galería de fotos de WordPress – Galería de imágenes

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 6. Estado de ópalo

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 7. Sincronización con Etsy Marketplace desde WooCommerce

  • Vulnerabilidad: derivación RCSRF
  • Parcheado en la versión: 3.3.2
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.3.2.

Complemento: 8. Cuadrícula de RAYOS

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 9. Vender medios

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 10. Comercio electrónico simple

  • Vulnerabilidad: carga de archivos arbitrarios
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: crítica

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 11. Cursos WP LMS

  • Vulnerabilidad: XSS almacenado autenticado a través del código de inserción de video
  • Parcheado en la versión: 2.0.44
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.44.

Complemento: Cursos WP LMS

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 2.0.44
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.44.

Complemento: 12. Marcador y favorito de CBX

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 1.6.9
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.9.

Complemento: 13. Pasarela Afterpay para WooCommerce

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 3.2.1
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.2.1.

Complemento: 14. Enlaces automáticos de Amazon

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 4.6.20
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.6.20.

Complemento: 15. Publicar carrusel

  • Vulnerabilidad: llamadas AJAX no autorizadas
  • Parcheado en la versión: 2.3.5
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.3.5.

¿Errores en tu sitio web de WordPress? Helpbot puede ayudarlo a corregir cualquier error en su sitio web. Visite nuestro blog y obtenga más información sobre cómo puede corregir errores en su sitio web de WordPress. También consulte nuestros servicios sobre mantenimiento y desarrollo de WordPress.

Helpbot

Complemento: 16. Smash Balloon Social Post Feed

  • Vulnerabilidad: XSS almacenado no autenticado
  • Parcheado en la versión: 2.19.2
  • Puntuación de gravedad: crítica

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.19.2.

Complemento: 17. Detener la enumeración de usuarios

  • Vulnerabilidad: omisión de API REST
  • Parcheado en la versión: 1.3.9
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.9.

Complemento: 18. Banderas de la barra de idioma

  • Vulnerabilidad: CSRF a XSS almacenado
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 19. Artillería de correo electrónico

  • Vulnerabilidad: CSRF a XSS almacenado
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: Artillería de correo electrónico

  • Vulnerabilidad: múltiples secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: Artillería de correo electrónico

  • Vulnerabilidad: Múltiples inyecciones SQL autenticadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: Artillería de correo electrónico

  • Vulnerabilidad: carga de archivos arbitrarios
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 20. SEOPress 5.0.0

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: 5.0.4
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.0.4.

Complemento: 21. Administrador de proyectos y documentos SP

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 4.26
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.26.

Complemento: Administrador de proyectos y documentos SP

  • Vulnerabilidad: carga de shell autenticada
  • Parcheado en la versión: 4.22
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.22.

Complemento: 22. Sistema de tickets avanzado de WordPress

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: 1.0.64
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.0.64.

Complemento: 23. Solicitud de cotización de WPHEKA

  • Vulnerabilidad: derivación de CSRF
  • Parcheado en la versión: 1.3
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.

Complemento: 24. Redirección WAll 404 a la página de inicio

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: 2.1
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.1.

Complemento: 25. Visor de archivos

  • Vulnerabilidad: carga/eliminación arbitraria de archivos a través de CSRF
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: crítica

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 26. Tienda de comercio electrónico

  • Vulnerabilidad: carga de archivos arbitrarios no autenticados
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: crítica

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 27. Calendario de conciertos de MF

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas (XSS)
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 28. BuddyPress

  • Vulnerabilidad: Divulgación de clave de activación
  • Parcheado en la versión: 9.1.1
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 9.1.1.

Complemento: BuddyPress

  • Vulnerabilidad: Inyecciones SQL
  • Parcheado en la versión: 9.1.1
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 9.1.1.

Complemento: 29. Jock en el aire ahora

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: 5.6.3
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.6.3.

Complemento: Jock en el aire ahora

  • Vulnerabilidad: actualización de la configuración del complemento arbitrario a través de CSRF
  • Parcheado en la versión: 5.6.2
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.6.2.

Complemento: Jock en el aire ahora

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 5.6.2
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.6.2.

Complemento: 30. ThinkTwit

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: 1.7.1
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.1.

Complemento: 31. Carrito de compras y tienda de comercio electrónico

  • Vulnerabilidad: CSRF a secuencias de comandos entre sitios almacenadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 32. Gutenslider

  • Vulnerabilidad: Contributor+ XSS almacenado
  • Parcheado en la versión: 5.2.0
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.2.0.

Complemento: 33. Vista previa de enlace visual

  • Vulnerabilidad: llamadas AJAX no autorizadas
  • Parcheado en la versión: 2.2.3
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.2.3.

Complemento: 34. Imprimir mi blog

  • Vulnerabilidad: desactivación del complemento a través de CSRF
  • Parcheado en la versión: 3.4.2
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.2.3.

Complemento: 35. Encabezado de bienvenida

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: 1.20.8
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.20.8.

Complemento: 36. youForms para WordPress

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 37. Calendario de disponibilidad

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: Calendario de disponibilidad

  • Vulnerabilidad: inyección SQL autenticada
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 38. WP Mapa Político España

  • Vulnerabilidad: XSS almacenado autenticado
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 39. Alojapro Widget

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 40. Tú Shang

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 41. Diálogo WP

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 42. Donar con QRCode

  • Vulnerabilidad: Suscriptor+ Scripting entre sitios almacenado
  • Parcheado en la versión: sin solución conocida
  • Puntuación de gravedad: media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Complemento: 43. Menú móvil de WP

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas (XSS)
  • Parcheado en la versión: 2.8.2.3
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.8.2.3.

Complemento: 44. Formulario de contacto 7 de W3SCloud para Zoho CRM

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas (XSS)
  • Parcheado en la versión: 2.1.0
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.1.0.

Complemento: 45. Inicio de sesión personalizado y panel de control de Erident

  • Vulnerabilidad: secuencias de comandos entre sitios almacenadas autenticadas (XSS)
  • Parcheado en la versión: 3.5.9
  • Puntuación de gravedad: baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.5.9.

Complemento: 46. Seguridad WP Cerber

  • Vulnerabilidad: Omisión de protección Rest-API
  • Parcheado en la versión: 8.9.3
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 8.9.3.

Complemento: WP Cerber Security

  • Vulnerabilidad: Omisión de autenticación 2FA
  • Parcheado en la versión: 8.9.3
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 8.9.3.

Complemento: 47. Portafolio de fotos de Flagallery

  • Vulnerabilidad: divulgación de ruta completa
  • Parcheado en la versión: 4.25
  • Puntuación de gravedad: media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.25.

Complemento: 48. Galería de álbumes GRAND Flash

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 1.67
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.67.

Complemento: Galería de álbumes GRAND Flash 0.55

  • Vulnerabilidad: lib/hitcounter.php Inyección SQL de parámetros pid
  • Versión parcheada: 0.60
  • Puntuación de gravedad:

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 0.60.

Complemento: Galería de álbumes GRAND Flash

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas a través del parámetro de máscara wp-admin/admin.php
  • Parcheado en la versión: 1.76
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.76.

Complemento: GRAND Flash Album Gallery 1.9.0 y 2.0.0

  • Vulnerabilidad: múltiples vulnerabilidades
  • Parcheado en la versión: 2.10
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.10.

Complemento: 49. Videollamadas bidireccionales y chat aleatorio

  • Vulnerabilidad: secuencias de comandos entre sitios reflejadas
  • Parcheado en la versión: 5.2.8
  • Puntuación de gravedad: alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.2.8.

Conclusión :

Si su sitio web de WordPress tiene alguno de estos 49 complementos vulnerables, asegúrese de eliminarlo lo antes posible o actualícelo a la versión segura. A veces, es un desafío hacer un seguimiento de los complementos en su sitio web. Herramientas como iThemes Security Pro pueden ayudarlo a escanear su sitio web para encontrar fallas o vulnerabilidades. Estas herramientas garantizarán que su sitio web se mantenga seguro y protegido.