Різне

Вразливості у плагінах

Дайджест актуальних новин про плагіни, у яких останнім часом знайдено вразливості. Більшість вразливостей можна виправити через оновлення до останньої версії, деякі плагіни, на жаль, рекомендовано видалити.

1. YITH Plugin Framework (39 окремих плагінів)

Досить популярний набір плагінів від YITH suite of WooCommerce має вразливості у багатьох плагінах, що входять в цей пакет. Оскільки у більшості з них є безкоштовні версії , дані плагіни для вордпрес використовуються багатьма власниками сайтів на WordPress для свої інтернет-магазинів. Вразливість дозволяє авторизованому користувачу змінювати налаштування плагінів. Перелік уражених плагінів та версії, де баг виправлено:

Назва плагінуПроблему виправлено, оновіться до вказаної версії
YITH WooCommerce Wishlist2.2.14
YITH CooCommerce Compare2.3.15
YITH WooCommerce Quick View1.3.15
YITH WooCommerce Zoom Magnifier1.3.12
WooCommerce Ajax Search1.7.1.
WooCommerce Badges Management1.3.21
WooCommerce Brands Add-On1.3.7
WooCommerce Request a Quote1.4.9
WooCommerce Social Login1.3.6
WooCommerce Order Tracking1.2.11
WooCommerce PDF Invoice1.2.13
Pre-Order for WooCommerce1.2.1
WooCommerce Advanced Reviews1.2.1
WooCommerce Product Add-Ons1.5.23
WooCommerce Gift Cards1.3.8
WooCommerce Subscriptions1.3.6
WooCommerce Affiliates1.6.3
WooCommerce Cart Messages1.4.5
WooCommerce Product Bundles1.1.17
WooCommerce Frequently Bought Together1.2.14
WooCommerce Multi-step Checkout1.7.5
Color and Label Variations for WooCommerce1.8.13
Custom Thank You Page for WooCommerce1.1.8
Product Size Charts for WooCommerce1.1.13
WooCommerce Added to Cart1.3.13
WooCommerce Bulk Product Editing1.2.15
WooCommerce Stripe2.0.2
WooCommerce Waiting List1.3.11
WooCommerce Points and Rewards1.3.6
WooCommerce Advanced Reviews1.3.6
Advanced Refund System for WooCommerce1.0.12
WooCommerce Authorize.net Payment Gateway1.1.13
WooCommerce Best Sellers1.1.13
WooCommerce MailChimp2.1.4
WooCommerce Product Vendors3.4.1
WooCommerce Questions and Answers1.2.0
WooCommerce Recover Abandoned Cart1.2.0
PayPal Express Checkout for WooCommerce1.2.6
Desktop Notifications for WooCommerce1.2.8

2. WP Google Review Slider

WP Google Review Slider версії 6.1 може бути взламано через Authenticated SQL Injection.

3. Safe SVG

Safe SVG версії 1.9.5 та нижче має дірку, що робить його вразливим до атаки Cross-Site Scripting Bypass.

4. Blog2Social: Social Media Auto Post & Scheduler

Blog2Social: Social Media Auto Post & Scheduler версії 5.8.1 вразливий до атаки Cross-Site Scripting.

5. Currency Switcher for WooCommerce

Currency Switcher for WooCommerce версії 2.11.1 має вразливість Security Restrictions Bypass, що дозволяє увімкнути валюту в магазині, яка в адмінці деактивована.