تقرير ثغرات WordPress: أبريل 2021 ، الجزء 3
نشرت: 2021-04-22المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي هذا المنشور مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress. سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.
نقاط الضعف الأساسية في ووردبريس
تم إصدار WordPress 5.7.1 في 15 أبريل 2021. يتضمن إصدار الأمان والصيانة هذا 26 إصلاحًا للأخطاء بالإضافة إلى إصلاحين للأمان. نظرًا لأن هذا إصدار أمني من نواة WordPress ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور!
1. WordPress 5.6 - 5.7
الثغرة الأمنية : XXE مصدق عليه داخل مكتبة الوسائط التي تؤثر على PHP 8
مصححة في الإصدار : 5.7.1
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
2. WordPress 4.7-5.7
الثغرة الأمنية : تعرض الصفحات المحمية بكلمة مرور مصادق عليها
مصححة في الإصدار : 5.7.1
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N
نقاط الضعف في البرنامج المساعد WordPress
1. إضافات Livemesh للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 6.8
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
2. HT ميجا - الإضافات المطلقة للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 1.5.7
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
3. WooLentor - إضافات WooCommerce Elementor

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 1.8.6
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
4. BuddyPress

الثغرة الأمنية : العديد من نقاط الضعف في واجهة برمجة تطبيقات REST المصادق عليها
مصححة في الإصدار : 7.3.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
5. إضافات PowerPack للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 2.3.2
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
6. تأثيرات تحوم الصور - ملحق العنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 1.3.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
7. ملحقات وقوالب Rife Elementor

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 1.1.6
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
8. إضافات Plus للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 2.0.6
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
9. الكل في واحد الإضافات للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 2.3.10
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
10. JetWidgets للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار :
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
11. امتداد سينا للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 3.3.12
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
12. الإضافات النهائية للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 1.30.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

13. حاسبات اللياقة

الثغرة الأمنية : تزوير طلب عبر الموقع إلى برمجة نصية عبر المواقع
مصححة في الإصدار : 1.9.6
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. مدير الوصول إلى حقوق المستخدم

الضعف : ضوابط الوصول غير الصحيحة
مصححة في الإصدار : 1.0.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
15. إضافات ذكية للعنصر

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة XSS
مصححة في الإصدار : 2.1.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
16. التنزيلات الرقمية السهلة

الضعف : قطع شريط غير مصرح به عبر CSRF
مصححة في الإصدار : 2.10.3
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L
17. جسر ادوايزر

الضعف : CSRF Nonce Bypass
مصححة في الإصدار : 2.0.7
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N
18. مدير تحميل ووردبريس

الثغرة الأمنية : تكرار التنزيل غير المصرح به
مصححة في الإصدار : 3.1.18
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N
19. خرائط نهائية بواسطة Supsystic

الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.2.5
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
20. انبثاق من قبل Supsystic

الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.10.5
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
21. معرض الصور بواسطة 10Web

الضعف : البرمجة النصية عبر المواقع المتعددة المنعكسة
مصححة في الإصدار : 1.5.69
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
22. إعادة توجيه نموذج الاتصال 7

الضعف : جيل التعسفي غير المصدق
مصححة في الإصدار : 2.3.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N
الثغرة الأمنية : تثبيت البرنامج المساعد التعسفي المصدق عليه
مصححة في الإصدار : 2.3.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N
الثغرة الأمنية : حقن كائن PHP مصدق عليه
مصححة في الإصدار : 2.3.4
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
قابلية التأثر : الحذف التعسفي المصادق عليه
مصححة في الإصدار : 2.3.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L
الضعف : إجراءات AJAX غير المحمية
مصححة في الإصدار : 2.3.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L
ثغرات ثغرات سمة WordPress
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
