Різне

Вразливості у плагінах

Дайджест актуальних новин про плагіни, у яких останнім часом знайдено вразливості. Більшість вразливостей можна виправити через оновлення до останньої версії, деякі плагіни, на жаль, рекомендовано видалити.

1. YITH Plugin Framework (39 окремих плагінів)

Досить популярний набір плагінів від YITH suite of WooCommerce має вразливості у багатьох плагінах, що входять в цей пакет. Оскільки у більшості з них є безкоштовні версії , дані плагіни для вордпрес використовуються багатьма власниками сайтів на WordPress для свої інтернет-магазинів. Вразливість дозволяє авторизованому користувачу змінювати налаштування плагінів. Перелік уражених плагінів та версії, де баг виправлено:

Назва плагіну Проблему виправлено, оновіться до вказаної версії
YITH WooCommerce Wishlist 2.2.14
YITH CooCommerce Compare 2.3.15
YITH WooCommerce Quick View 1.3.15
YITH WooCommerce Zoom Magnifier 1.3.12
WooCommerce Ajax Search 1.7.1.
WooCommerce Badges Management 1.3.21
WooCommerce Brands Add-On 1.3.7
WooCommerce Request a Quote 1.4.9
WooCommerce Social Login 1.3.6
WooCommerce Order Tracking 1.2.11
WooCommerce PDF Invoice 1.2.13
Pre-Order for WooCommerce 1.2.1
WooCommerce Advanced Reviews 1.2.1
WooCommerce Product Add-Ons 1.5.23
WooCommerce Gift Cards 1.3.8
WooCommerce Subscriptions 1.3.6
WooCommerce Affiliates 1.6.3
WooCommerce Cart Messages 1.4.5
WooCommerce Product Bundles 1.1.17
WooCommerce Frequently Bought Together 1.2.14
WooCommerce Multi-step Checkout 1.7.5
Color and Label Variations for WooCommerce 1.8.13
Custom Thank You Page for WooCommerce 1.1.8
Product Size Charts for WooCommerce 1.1.13
WooCommerce Added to Cart 1.3.13
WooCommerce Bulk Product Editing 1.2.15
WooCommerce Stripe 2.0.2
WooCommerce Waiting List 1.3.11
WooCommerce Points and Rewards 1.3.6
WooCommerce Advanced Reviews 1.3.6
Advanced Refund System for WooCommerce 1.0.12
WooCommerce Authorize.net Payment Gateway 1.1.13
WooCommerce Best Sellers 1.1.13
WooCommerce MailChimp 2.1.4
WooCommerce Product Vendors 3.4.1
WooCommerce Questions and Answers 1.2.0
WooCommerce Recover Abandoned Cart 1.2.0
PayPal Express Checkout for WooCommerce 1.2.6
Desktop Notifications for WooCommerce 1.2.8

2. WP Google Review Slider

WP Google Review Slider версії 6.1 може бути взламано через Authenticated SQL Injection.

3. Safe SVG

Safe SVG версії 1.9.5 та нижче має дірку, що робить його вразливим до атаки Cross-Site Scripting Bypass.

4. Blog2Social: Social Media Auto Post & Scheduler

Blog2Social: Social Media Auto Post & Scheduler версії 5.8.1 вразливий до атаки Cross-Site Scripting.

5. Currency Switcher for WooCommerce

Currency Switcher for WooCommerce версії 2.11.1 має вразливість Security Restrictions Bypass, що дозволяє увімкнути валюту в магазині, яка в адмінці деактивована.