24 plugins con vulnerabilidades durante Febrero de 2015
Listado de plugins WordPress con vulnerabilidades durante Febrero de 2015.
Si bien seguramente hay más, durante Febrero se registraron 24 plugins con vulnerabilidades que ponen en riesgo tu sitio web y la seguridad de WordPress.
Para que se dimensione la importancia de realizar los mantenimientos necesarios en las webs, se registraron minimamente un problema de seguridad por día solamente en los plugins, teniendo en cuenta que hay muchos más que no conocemos, que puede haber problemas también en el Core del sistema y hasta en el propio servidor dónde está alojada la web, un plan de auditoría y seguridad en WordPress es más necesario que nunca.
Acá el listado correspondiente:
WonderPlugin Audio Player 2.0 Blind SQL Injection and XSS |
WordPress Survey & Poll <= 1.1.7 – Blind SQL Injection |
Redirection Page <= 1.2 – CSRF/XSS |
Mobile Domain <= 1.5.2 – CSRF/XSS |
Image Metadata Cruncher – Multiple XSS |
WP Ultimate CSV Importer <= 3.6.74 – Database Table Export |
UpdraftPlus <= 1.9.50 – Privilege Escalation |
TinyMCE Advanced 4.1 – Setting Reset CSRF |
FancyBox for WordPress <= 3.0.2 – Stored Cross-Site Scrip… |
Easy Social Icons <= 1.2.2 – Stored XSS & CSRF |
Easing Slider <= 2.2.0.6 – 2 x Cross-Site Scripting (XSS) |
WordPress Calls to Action <= 2.2.7 – Stored XSS |
Acobot Live Chat & Contact Form <= 2.0 CSRF/XSS |
Ninja Forms <= 2.8.8 – Stored & Reflected XSS |
Contact Form DB <= 2.8.26 – Cross-Site Scripting (XSS) |
Users Ultra <= 1.4.35 – SQL Injection |
Ninja Forms <= 2.8.8 – Stored & Reflected XSS |
WordPress Video Gallery <= 2.7 – SQL Injection |
WordPress Store Locator 3.33.1 – SQL Injection |
Gallery Bank <= 3.0.101 – SQL Injection |
WordPress Video Player <= 1.5.4 – Reflected Cross-Site |
Duplicator 0.5.8 – Privilege Escalation |
WooCommerce <= 2.2.10 – Cross-Site Scripting (XSS) |
Revive Old Post <= 6.9.0 – Privilege Escalation |
Siempre es necesario tener backups antes de actualizar y tomar las medidas necesarias para no comprometer la seguridad de tu sitio ni la programación o desarrollo del mismo.