تقرير ثغرات WordPress: أبريل 2021 ، الجزء الثاني
نشرت: 2021-04-15تم الكشف عن مكون WordPress الإضافي الجديد والثغرات الأمنية خلال الأسبوع الثاني من شهر أبريل. يغطي هذا المنشور المكون الإضافي الأخير والموضوع ونقاط الضعف الأساسية في WordPress وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress حاليًا هو 5.7. تأكد من أن جميع مواقع الويب الخاصة بك تعمل بأحدث إصدار من WordPress core.
نقاط الضعف في البرنامج المساعد WordPress
يغطي هذا القسم نقاط الضعف في مكونات WordPress الإضافية مع إرشادات حول ما إذا كان سيتم تحديث المكون الإضافي الضعيف أو إزالته.
1. iThemes Security Free & Pro
الضعف : إخفاء تجاوز الخلفية
مصححة في الإصدار (أمان iThemes) : 7.9.1
المصححة في الإصدار (iThemes Security Pro) : 6.8.4
درجة الخطورة : عالية - CVSS: 3.1AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: H / A: H /
تتيح ميزة إخفاء الخلفية في iThemes Security للمستخدمين إخفاء صفحة تسجيل الدخول عن طريق تغيير اسمها ومنع الوصول إلى wp-login.php و wp-admin. تم اكتشاف خطأ في الإصدارات الأقل من 7.9.1 من iThemes Security وأقل من 6.8.4 من iThemes Security Pro والتي تجعل صفحة تسجيل الدخول المخفية قابلة للاكتشاف ، مما يقلل من فعالية الميزة.
ملاحظة: يجب أن تدرك أن ميزة إخفاء الخلفية ليست كاملة بغض النظر عن مدى سعينا لتحسينها. في الواقع ، فإن فعالية إخفاء صفحة تسجيل الدخول إلى موقع الويب الخاص بك لأسباب أمنية هي خرافة أمان WordPress رقم 1 . لماذا ا؟ الحقيقة هي أنه لا يمكنك إخفاء الواجهة الخلفية لموقع الويب الخاص بك تمامًا. قد يتم الكشف عن صفحة تسجيل الدخول بواسطة نواة WordPress أو المكونات الإضافية أو السمات عند طباعة روابط إلى صفحة تسجيل الدخول (مثل تأكيدات طلب الخصوصية أو نماذج تسجيل الدخول الأمامية).
2. عضوية بسيطة
الثغرة الأمنية : إدخالات SQL مصدق عليها
مصححة في الإصدار : 4.0.4
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: H / I: H / A: L
3. حافظة WPBakery Page Builder
الثغرة الأمنية : المشترك + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 4.5.6
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: L
الثغرة الأمنية : تحديث خيارات الترخيص التعسفي غير المصرح به
مصححة في الإصدار : 4.5.8
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: N / I: L / A: N
4. OpenID Connect Generic Client
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.8.2
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N
5. وقف مرسلي البريد العشوائي
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2021.9
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: R / S: C / C: L / I: L / A: N
6. التخيلات
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
7. برنامج WorkScout Core Plugin
الثغرات الأمنية : XSS و XFS مخزنان مصدق عليهما
مصححة في الإصدار : 1.3.4
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
8. لارسنس كالندر
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
9. نموذج الاتصال تحقق من الفاحص
الثغرة الأمنية : تعطل التحكم في الوصول إلى البرمجة النصية عبر المواقع
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
10. البرنامج المساعد دليل الأعمال
الضعف : قائمة التصدير التعسفي
مصححة في الإصدار : 5.11.2
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: N / A: N
الثغرة الأمنية : تحديث تعسفي لسجل الدفع
مصححة في الإصدار : 5.11.2
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: N / I: L / A: N
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 5.11.2
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
11. لافتة الحدث
الثغرة الأمنية : تحميل ملف تعسفي إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
12. كلاسفريسيد
الثغرة الأمنية : تحميل ملف تعسفي مصدق عليه إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
13. استيراد ناشر الكلية
الثغرة الأمنية : تحميل ملف تعسفي إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
ثغرات ثغرات سمة WordPress
1. WorkScout الأساسية الموضوع
الثغرات الأمنية : XSS و XFS مخزنان مصدق عليهما
مصححة في الإصدار : 2.0.33
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
