Březnový souhrn oprav ve WordPress pluginech a tématech (podle https://ithemes.com/) je pestrý a řádně nabitý – zkontrolujte si, zda některý z nich používáte na svém webu a zda je aktualizovaný.
- Opravy pluginů
- 1. Pricing Table by Supsystic OPRAVENO
- 2. Flexible Checkout Fields for WooCommerce OPRAVENO
- 3. export-users ODSTRAŇTE
- 4. Hero Maps OPRAVENO
- 5. CardGate Payments for WooCommerce OPRAVENO
- 6. Async JavaScript OPRAVENO
- 7. 10Web Map Builder for Google Maps OPRAVENO
- 8. Modern Events Calendar Lite OPRAVENO
- 9. Appointment Booking Calendar OPRAVENO
- 10. WPForms OPRAVENO
- 11. WordPress WP-Advanced-Search OPRAVENO
- 12. RegistrationMagic OPRAVENO
- 13. Brizy – Page Builder OPRAVENO
- 14. Custom Searchable Data Entry System ODSTRAŇTE
- 15. WP Security Audit Log OPRAVENO
- 16.-22. Více pluginů ODSTRAŇTE
- 23. WordPress File Upload OPRAVENO
- 24. Newsletter OPRAVENO
- 25. LearnPress OPRAVENO
- 26. Custom Post Type UI OPRAVENO
- 27. Gutenberg & Elementor Templates Importer For Responsive OPRAVENO
- 28. Advanced Ads – Ad Manager & AdSense OPRAVENO
- 29. Migrate & Backup WordPress – WPvivid Backup Plugin OPRAVENO
- 30. Cookiebot OPRAVENO
- 31. Data Tables Generator by Supsystic OPRAVENO
- 32. Product Lister for Walmart ODSTRAŇTE
- 33. All-in-One WP Migration OPRAVENO
- Opravy šablon
Opravy pluginů
1. Pricing Table by Supsystic OPRAVENO
Pricing Table by Supsystic verze 1.8.1 a nižší má hned několik slabých míst. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.8.2.
2. Flexible Checkout Fields for WooCommerce OPRAVENO
Flexible Checkout Fields for WooCommerce verze 2.3.1 a nižší mají chybu zabezpečení Neověřená aktualizace. Plugin umožňoval vkládat škodlivé skripty na stránky pokladen WooCommerce. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.3.2.
3. export-users ODSTRAŇTE
Export-Users verze 1.4.2 a nižší jsou náchylné k útoku CSV Injection. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.
4. Hero Maps OPRAVENO
Hero Maps verze 2.2.1 a nižší jsou zranitelné prostřednictvím neautentizovaného zrcadleného skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.2.3.
5. CardGate Payments for WooCommerce OPRAVENO
CardGate Payments pro WooCommerce verze 3.1.15 a nižší jsou zranitelné při neautorizovaných platbách a zneužití stavu objednávek. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.1.16.
6. Async JavaScript OPRAVENO
Verze Async JavaScriptu 2.19.07.14 a nižší mají chybu zabezpečení Neověřené uložené mezisíťové skriptování. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.20.02.27.
7. 10Web Map Builder for Google Maps OPRAVENO
10Web Map Builder pro Mapy Google verze 1.0.63 a novější má zranitelnost Unauthenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.64.
8. Modern Events Calendar Lite OPRAVENO
Modern Events Calendar Lite verze 5.1.6 a nižší má chybu Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 5.1.7.
9. Appointment Booking Calendar OPRAVENO
Kalendář rezervace schůzek ve verzích 1.3.34 a nižších má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.3.35.
10. WPForms OPRAVENO
Verze WPForms verze 1.5.8.2 a nižší mají chybu zabezpečení Ověření skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.5.9.
11. WordPress WP-Advanced-Search OPRAVENO
Verze WordPress WP-Advanced-Search verze 3.3.3 a nižší mají chybu zabezpečení Neověřený přístup k databázi a vzdálené spuštění kódu. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.3.4.
12. RegistrationMagic OPRAVENO
RegistrationMagic verze 4.6.0.1 a nižší má více bezpečnostních chyb. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.6.0.4.
13. Brizy – Page Builder OPRAVENO
Brizy – Page Builder verze 1.0.113 a nižší má chybu zabezpečení Neověřené aktualizace webu. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.114.
14. Custom Searchable Data Entry System ODSTRAŇTE
Custom Searchable Data Entry System verze 1.7.1 a novější má zranitelnost Unauthenticated Modification and Deletion. Tato chyba zabezpečení je aktivně využívána. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.
15. WP Security Audit Log OPRAVENO
WP Security Audit Log verze 4.0.1 a nižší má chybu zabezpečení přístupu Broke Access. Chyba zabezpečení byla opravena, aktualizujte na verzi 4.0.2.
16.-22. Více pluginů ODSTRAŇTE
Buddypress Component Stats, abstract-submission, WP e-Commerce Shop Styling, web-portal-lite-client, post-pdf-export, blogtopdf, a gboutique mají zranitelnost neověřeného zahrnutí lokálního souboru Dompdf. Pluginy jsou z úložiště wordpress.org odstraněny, měli byste je smazat i ze svého webu.
23. WordPress File Upload OPRAVENO
Verze WordPress File Upload nižší než 4.13.0 mají chybu zabezpečení umožňující vzdálené spuštění kódu. Chyba zabezpečení byla opravena, aktualizujte na verzi 4.13.0.
24. Newsletter OPRAVENO
Verze Newsletteru nižší než 6.5.4 mají chybu zabezpečení CSV Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 6.5.4.
25. LearnPress OPRAVENO
LearnPress verze nižší než 3.2.6.7 mají chybu zabezpečení Privilege Escalation. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.2.6.7.
26. Custom Post Type UI OPRAVENO
Verze Custom Post Type UI nižší než 1.7.4 mají chybu zabezpečení skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.7.4.
27. Gutenberg & Elementor Templates Importer For Responsive OPRAVENO
Gutenberg & Elementor Templates Importer For Responsive verze nižší než 2.2.6 mají chybu zabezpečení nechráněných koncových bodů AJAX. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.2.6.
28. Advanced Ads – Ad Manager & AdSense OPRAVENO
Advanced Ads – Ad Manager & AdSense verze nižší než 1.17.4 mají ověřenou chybu skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.17.4.
29. Migrate & Backup WordPress – WPvivid Backup Plugin OPRAVENO
Migrate & Backup WordPress – WPvivid Backup Plugin verze nižší než 0.9.36 mají chybějící oprávnění vedoucí ke zranitelnosti databáze. Chyba zabezpečení byla opravena, aktualizujte na verzi 0.9.36.
30. Cookiebot OPRAVENO
Verze Cookiebot nižší než 3.6.1 mají chybu zabezpečení Authenticated Reflected Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.6.1.
31. Data Tables Generator by Supsystic OPRAVENO
Data Tables Generator by Supsystic verze nižší než 1.9.92 má několik slabých míst. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.9.92.
32. Product Lister for Walmart ODSTRAŇTE
Product Lister for Walmart má chybu zabezpečení Neověřené vzdálené spuštění kódu. Plugin je z úložiště wordpress.org odstraněn, měli byste jej smazat i ze svého webu.
33. All-in-One WP Migration OPRAVENO
Verze All-in-One WP Migration nižší než 7.15 mají chybu zabezpečení Arbitrary Backup Download. Chyba zabezpečení byla opravena, aktualizujte na verzi 7.15.
Opravy šablon
1. Fruitful OPRAVENO
Verze Fruitful motivu nižší než 3.8.2 obsahuje chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.8.2.
Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostí: služby > údržba WordPress.
