ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

KLA10491
Múltiplas vulnerabilidades em plugins do WordPress
Atualizado: 07/05/2018
Data de detecção
?
03/17/2015
Nível de gravidade
?
Crítico
Descrição

Várias vulnerabilidades sérias foram encontradas em plugins e temas do WordPress. Usuários mal-intencionados podem explorar essas vulnerabilidades para executar ou injetar código arbitrário, ignorar a segurança e ler arquivos locais.

Abaixo está uma lista completa de vulnerabilidades

  1. Várias vulnerabilidades XSS foram encontradas nos plug-ins do Spider Facebook, do Contact Form DB, do WooCommerce, do WP Media Cleaner, do Ninja Forms, do WonderPlugin Audio Player, do WPML e do Google Doc Embedder. Ao explorar essas vulnerabilidades, os usuários mal-intencionados podem injetar scripts arbitrários. Essas vulnerabilidades podem ser exploradas remotamente por meio de vetores desconhecidos relacionados ao painel de administração;

  2. Várias vulnerabilidades CSRF foram encontradas em plug-ins de Domínio Móvel, Criptador de Metadados de Imagens, Chat ao Vivo e Formulário de Contato, jQuery CrossSlide, Easy Social Icons e Redirecionamento. Ao explorar essas vulnerabilidades, os usuários mal-intencionados podem sequestrar a autenticação dos administradores. Essas vulnerabilidades podem ser exploradas remotamente por meio de vetores desconhecidos relacionados ao painel de administração;

  3. A vulnerabilidade de passagem de diretório foi encontrada no tema Elegant Themes Divi. Ao explorar esta vulnerabilidade, os usuários mal-intencionados podem ler arquivos locais. Esta vulnerabilidade pode ser explorada remotamente através de um parâmetro img especialmente projetado;

  4. A vulnerabilidade de injeção de SQL foi encontrada na Apptha WordPress Video Gallery, no WonderPlugin Audio Player, no Calendário de Eventos do Spider, no WPML e no WordPress Survey e no Plugins Poll e no tema Photocrati. Ao explorar esta vulnerabilidade, os usuários mal-intencionados podem executar comandos SQL arbitrários. Essa vulnerabilidade pode ser explorada remotamente por meio de vetores relacionados ao painel de administração.

  5. O upload irrestrito de arquivos foi encontrado no tema Fusion. Ao explorar esta vulnerabilidade, os usuários mal-intencionados podem executar código arbitrário. Essa vulnerabilidade pode ser explorada remotamente por meio de vetores não especificados.

  6. Manipulação de pedidos impróprios e outras vulnerabilidades desconhecidas foram encontradas no plugin WPML. Ao explorar essas vulnerabilidades, você pode ignorar as restrições de segurança. Essas vulnerabilidades podem ser exploradas remotamente por meio de uma solicitação especialmente projetada.
Produtos afetados

Versões do plugin Spider Facebook anteriores a 1.0.11
Plugin de domínio móvel versão 1.5.2
Página de plugin de redirecionamento versão 1.2
Temas elegantes Divi theme todas as versões
Versões do plug-in do Google Doc Embedder anteriores a 2.5.19
Metadata Cruncher plugin para todas as versões
Formulário de contato DB plugin versão 2.8.26
Bate-papo ao vivo da Acobot e plug-in do formulário de contato versão 2.0
Versões do plugin WooCommerce anteriores a 2.2.11
Apptha WordPress Video Gallery plugin versões anteriores a 2.8
Inquérito WordPress e Plugin Poll versão 1.1.7
CrossSlide jQuery plugin versão 2.0.5
Versões do plugin Easy Social Icons anteriores a 1.2.3
Versões do plugin WonderPlugin Audio Player anteriores a 2.1
Fusão tema versão 3.1
Versões do plugin Ninja Forms anteriores à 2.8.9
Photocrati theme 4 todas as versões
Versões do plugin WPML anteriores à 3.1.9

Solução

Atualize para a versão segura ou selecione outro plug-in ou tema para usar

Impactos
?
RLF 
[?]

CI 
[?]

ACE 
[?]

SB 
[?]
Produtos relacionados
WordPress unclassified products
CVE-IDS
?

CVE-2015-2791
CVE-2015-2792
CVE-2015-2314
CVE-2015-2315
CVE-2015-2216
CVE-2015-2218
CVE-2015-2220
CVE-2015-2194
CVE-2015-2195
CVE-2015-2196
CVE-2015-2199
CVE-2015-2084
CVE-2015-2089
CVE-2015-2090
CVE-2015-2065
CVE-2015-2069
CVE-2015-2039
CVE-2015-2040
CVE-2015-1614
CVE-2015-1879
CVE-2015-1579
CVE-2015-1580
CVE-2015-1581
CVE-2015-1582


Link para o original