An administrator should be able to add two-factor authentication (2FA) to a WordPress site easily within minutes. The admin should also be able to configure policies to make 2FA compulsory, and users should be able setup 2FA without requiring any training or technical knowledge. We started developing WP 2FA with that in mind: develop an […]
More info:
https://www.wpwhitesecurity.com/hello-to-wp-2fa-plugin/
https://www.wordfence.com/blog/2020/03/critical-vulnerabilities-affecting-over-200000-sites-patched-in-rank-math-seo-plugin/ On March 23, 2020, our Threat Intelligence team discovered 2 vulnerabilities in WordPress SEO Plugin – Rank Math, a WordPress plugin with over 200,000 installations. The most critical vulnerability allowed an unauthenticated attacker to update arbitrary metadata, which included the ability to grant or revoke administrative privileges for any registered user on the
More info:
https://www.wordfence.com/blog/2020/03/critical-vulnerabilities-affecting-over-200000-sites-patched-in-rank-math-seo-plugin/
https://wordpress.org/news/2020/03/adderley/Here it is! Named “Adderley” in honor of Nat Adderley, the latest and greatest version of WordPress is available for download or update in your dashboard. Say hello to more and better. More ways to make your pages come alive. With easier ways to get it all done and looking better than ever—and boosts in speed you […]
More info:
https://wordpress.org/news/2020/03/adderley/
BIG-IP HTTP profile vulnerability CVE-2020-5857 Security Advisory Security Advisory Description Undisclosed HTTP behavior may lead to a denial of service. (CVE-2020-5857) Impact This vulnerability ...
More info:
https://support.f5.com/csp/article/K70275209?utm_source=f5support&utm_medium=RSS
Los intentos de engaño hacen referencia a supuestos reembolsos o devoluciones de impuestos, mediante envíos de comunicaciones masivas por correo electrónico en los que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria, o bien la identidad de sus directivos. Con frecuencia, los intentos de fraude hacen referencia a una supuesta información que imposibilita el envío de la devolución de la campaña de Renta y suplanta la imagen de la Agencia Tributaria.
En estos envíos de correos fraudulentos, conocidos como “phishing”, se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero hay que acceder a una dirección web o rellenar un formulario en los que se deben aportar datos de cuentas bancarias o tarjetas de crédito o débito.
La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.
Más información
Agencia Tributaria
Los intentos de engaño hacen referencia a supuestos reembolsos o devoluciones de impuestos, mediante envíos de comunicaciones masivas por correo electrónico en los que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria, o bien la identidad de sus directivos. Con frecuencia, los intentos de fraude hacen referencia a una supuesta información que imposibilita el envío de la devolución de la campaña de Renta y suplanta la imagen de la Agencia Tributaria.
En estos envíos de correos fraudulentos, conocidos como “phishing”, se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero hay que acceder a una dirección web o rellenar un formulario en los que se deben aportar datos de cuentas bancarias o tarjetas de crédito o débito.
La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.
Más información
Agencia Tributaria
von Michael Hawkins. When a cohort role assignment was removed, the associated capabilites were not being revoked (where applicable).Severity/Risk:MinorVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:Yusuf Yilmaz, Mick CassellCVE identifier:CVE-2019-14879Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66257Tracker issue:MDL-66257 Assigned Role in
More info:
https://moodle.org/mod/forum/discuss.php?d=393582&parent=1586743
von Michael Hawkins. OAuth 2 providers who do not verify users email address changes require additional verification during sign-up to reduce the risk of account compromise.Severity/Risk:SeriousVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:CeDiS TeamWorkaround:Disable login via OAuth 2 providers that may be affected, until the patch is applied.CVE identifier:CVE-2019-14880Changes
More info:
https://moodle.org/mod/forum/discuss.php?d=393583&parent=1586744
von Michael Hawkins. User emails required additional sanitizing to prevent blind XSS risk on some pages.Severity/Risk:MinorVersions affected:3.7 to 3.7.2Versions fixed:3.7.3Reported by:Yuri ZwaigCVE identifier:CVE-2019-14881Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66762Tracker issue:MDL-66762 Blind XSS reflected in some locations where user email is displayed
More info:
https://moodle.org/mod/forum/discuss.php?d=393584&parent=1586746
von Michael Hawkins. An open redirect existed in the Lesson edit page.Severity/Risk:MinorVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:Paul HoldenCVE identifier:CVE-2019-14882Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66228Tracker issue:MDL-66228 Open redirect in Lesson edit page
More info:
https://moodle.org/mod/forum/discuss.php?d=393585&parent=1586747
