Weekend kończy się pracowicie dla wszystkich tych, którzy korzystają na swoich stronach z poniższych pluginów. Dlaczego? Z przykrością przedstawiam Wam dzisiaj 11 pluginów, które zostały dziś oznaczone jako dziurawe, a mogły sprawić że około 1 880 000 stron może paść niebawem łupem hakerów. Oto i one:

 

Duplicator

(aktywny na ponad 600 000 witryn)

Wszystkie wersje od 0.5.26 w dół są wrażliwe na atak typu XSS. Informacja ta obiegła Internet dzisiaj, a uaktualnienie Duplicatora do wersji 0.5.28 łata lukę.

 

Display Widgets

(aktywny na ponad 200 000 witryn)

Plugin pozwalający ukrywać widgety na konkretnych podstronach witryn pod WordPressem jest wrażliwy na atak XSS. Osoby posiadające aktywną wersję <= 2.03 powinny czym prędzej uaktualnić wtyczkę do wersji 2.04.

AddThis Sharing Buttons

(aktywny na ponad 200 000 witryn)

Wersja 5.0.12 oraz niższe podatne są na ataki typu XSS (Authenticated Cross-Site Scripting). Administratorom zaleca się uaktualnienie wtyczki do wersji 5.0.13. Więcej informacji o tej luce znajdziecie tutaj.

 

All In One WP Security & Firewall

(aktywny na ponad 200 000 witryn)

Nie powinniśmy polegać na pluginach w magiczny sposób poprawiających całkowicie nasze bezpieczeństwo. One również nie są pozbawione luk o czym dowiadujemy się chociażby na przykładzie wtyczki All In One WP Security & Firewall, która w wersji 3.9.7 (oraz niższych) posiada lukę XSS (Unauthenticated Cross-Site Scripting). Posiadacze tego pluginu bezzwłocznie powinni zaktualizować ją do wersji 3.9.8.

 

My Category Order

(aktywny na ponad 100 000 witryn)

Ta popularna wtyczka w wersji 4.3 i niższych podatna jest na atak XSS (Authenticated Cross-Site Scripting). Nie wydano jeszcze uaktualnienia, dlatego warto zaniechać jej używania do czasu wydania nowej wersji.

 

WP Google Fonts

(aktywny na ponad 100 000 witryn)

Wtyczka WP Google Fonts autorstwa Adriana3 została oznaczona w wersjach niższych bądź równych 3.1.3 jako dziurawa. Informację tę podał Marcin Probola, który wykrył w niej podatność na atak XSS. Uaktualnienie do wersji 3.1.4 polepsza sytuację.

 

WP Social Bookmarking Light

(aktywny na ponad 100 000 witryn)

WP Social Bookmarking Light w wersjach niższych niż 1.7.10 podatny jest na atak XSS. Sytuację ratuje uaktualnienie do wspomnianej już wersji.

 

Category Order and Taxonomy Terms Order

(aktywny na ponad 100 000 witryn)

Ta popularna wtyczka, podobnie jak wszystkie powyższe narażona jest na ataki typu XSS. Wrażliwe są wersje niższe lub równe wersji 1.4.4, a łata ją uaktualnienie do wersji 1.4.6.1.

 

Pretty Link Lite

(aktywny na ponad 100 000 witryn)

Wtyczka Pretty Link Lite (wersja <= 1.6.7) narażona jest na atak typu Authenticated SQL Injection. Jeżeli administrujesz jedną spośród 100 000 stron, na których aktywna jest ta wtyczka, to powinieneś uaktualnić ją do wersji 1.6.8.

 

CKEditor for WordPress

(aktywny na ponad 90 000 witryn)

Ten używany prawie na 100 tysiącach stron edytor posiada w wersji 4.5.3 (oraz niższej) lukę typu XSS. Więcej na ten temat znajdziecie tutaj, a ja dodam że uaktualnienie pluginu do wersji 4.5.3.1 łata lukę.

 

Easy Table

(aktywny na ponad 90 000 witryn)

Plugin Easy Table wersji 1.5.2 (oraz niższych) podatny jest na atak XSS. Wydano już uaktualnienie łatające lukę – 1.5.3. Zaleca się niezwłoczną aktualizację.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ