Mais uma semana de revisão de segurança do WordPress, destaque para o plugin WP GDPR, se usa este plugin deve remover da sua instalação.
widget-settings-importexport By Voce Communications – Kevin Langley, Sean McCafferty, Mark Parolisi (widget-settings-importexport) – Este plugin com mais de 478 000 download, um plugin com alguma popularidade tem uma vulnerabilidade que permite um utilizador autenticado com permissões mínimas ao nível do subscritor a possibilidade de importar e ativar widgets personalizados com conteúdo JavaScript. Este plugin foi fechado no diretório de plugin do WordPress no dia 13 de abril de 2020 e foi removido a possibilidade de download. Esse fecho é temporário e aguardando uma revisão completa. Se usa este plugin, desative-o.
Media Library Assistant By David Lingren (media-library-assistant) – Este plugin tem uma vulnerabilidade que permite a execução remota de código. Deve atualizar para a versão 2.82 e resolve esta vulnerabilidade.
Translate WordPress with GTranslate By Translate AI Multilingual Solutions (gtranslate) – Deve atualizar este plugin para a versão 2.8.52.
catch-breadcrumb By Catch Plugins (catch-breadcrumb) – Este plugin tem uma vulnerabilidade Cross-Site Scripting (XSS) e foi encerrado no dia 22 de abril de 2020 e não está disponível para download. Esse encerramento é temporário, aguardando uma revisão completa.
wp-gdpr-core By AppSaloon (wp-gdpr-core) – Este é um plugin com mais de 70 000 downloads, e tem um grave problema de segurança. Se usa este plugin, deve desativa-lo e esperar uma nova atualização. Não é recomendado que continue a usar o plugin.
MapPress Maps for WordPress By Chris Richardson (mappress-google-maps-for-wordpress) É um plugin muito popular, conta já com mais de 2 126 000 de downloads. Conta com uma vulnerabilidade que, por exemplo pode permitir a exclusão arbitrária de mapas. Se usa deve atualizar para a versão 2.53.9