تقرير ثغرات WordPress: أبريل 2021 ، الجزء 3

نشرت: 2021-04-22

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي هذا المنشور مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress. سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.

في تقرير الجزء الثالث لشهر أبريل

    نقاط الضعف الأساسية في ووردبريس

    تم إصدار WordPress 5.7.1 في 15 أبريل 2021. يتضمن إصدار الأمان والصيانة هذا 26 إصلاحًا للأخطاء بالإضافة إلى إصلاحين للأمان. نظرًا لأن هذا إصدار أمني من نواة WordPress ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور!

    1. WordPress 5.6 - 5.7

    الثغرة الأمنية : XXE مصدق عليه داخل مكتبة الوسائط التي تؤثر على PHP 8
    مصححة في الإصدار : 5.7.1
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك تحديث WordPress core إلى 5.7.1+.

    2. WordPress 4.7-5.7

    الثغرة الأمنية : تعرض الصفحات المحمية بكلمة مرور مصادق عليها
    مصححة في الإصدار : 5.7.1
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك تحديث WordPress core إلى 5.7.1+.

    نقاط الضعف في البرنامج المساعد WordPress

    1. إضافات Livemesh للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 6.8
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 6.8+.

    2. HT ميجا - الإضافات المطلقة للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 1.5.7
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.5.7+.

    3. WooLentor - إضافات WooCommerce Elementor

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 1.8.6
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.8.6+.

    4. BuddyPress

    الثغرة الأمنية : العديد من نقاط الضعف في واجهة برمجة تطبيقات REST المصادق عليها
    مصححة في الإصدار : 7.3.0
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 7.3.0+.

    5. إضافات PowerPack للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 2.3.2
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.3.2+.

    6. تأثيرات تحوم الصور - ملحق العنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 1.3.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.3.4+.

    7. ملحقات وقوالب Rife Elementor

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 1.1.6
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.1.6+.

    8. إضافات Plus للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 2.0.6
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.0.6+.

    9. الكل في واحد الإضافات للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 2.3.10
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.3.10.

    10. JetWidgets للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار :
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 6.8+.

    11. امتداد سينا ​​للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 3.3.12
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 3.3.12+.

    12. الإضافات النهائية للعنصر

    Ultimate Addon Elementor Logo

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة (XSS)
    مصححة في الإصدار : 1.30.0
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.30.0+.

    13. حاسبات اللياقة

    الثغرة الأمنية : تزوير طلب عبر الموقع إلى برمجة نصية عبر المواقع
    مصححة في الإصدار : 1.9.6
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.9.6+.

    14. مدير الوصول إلى حقوق المستخدم

    الضعف : ضوابط الوصول غير الصحيحة
    مصححة في الإصدار : 1.0.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.4+.

    15. إضافات ذكية للعنصر

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة XSS
    مصححة في الإصدار : 2.1.0
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.1.0+.

    16. التنزيلات الرقمية السهلة

    شعار التنزيلات الرقمية السهلة

    الضعف : قطع شريط غير مصرح به عبر CSRF
    مصححة في الإصدار : 2.10.3
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.10.3+.

    17. جسر ادوايزر

    الضعف : CSRF Nonce Bypass
    مصححة في الإصدار : 2.0.7
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.0.7+.

    18. مدير تحميل ووردبريس

    شعار WordPress Download Manager

    الثغرة الأمنية : تكرار التنزيل غير المصرح به
    مصححة في الإصدار : 3.1.18
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 3.1.18+.

    19. خرائط نهائية بواسطة Supsystic

    الضعف : انعكاس البرمجة عبر المواقع
    مصححة في الإصدار : 1.2.5
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.2.5+.

    20. انبثاق من قبل Supsystic

    الضعف : انعكاس البرمجة عبر المواقع
    مصححة في الإصدار : 1.10.5
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.10.5+.

    21. معرض الصور بواسطة 10Web

    معرض الصور بواسطة 10Web Logo

    الضعف : البرمجة النصية عبر المواقع المتعددة المنعكسة
    مصححة في الإصدار : 1.5.69
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.5.69+.

    22. إعادة توجيه نموذج الاتصال 7

    الضعف : جيل التعسفي غير المصدق
    مصححة في الإصدار : 2.3.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N

    الثغرة الأمنية : تثبيت البرنامج المساعد التعسفي المصدق عليه
    مصححة في الإصدار : 2.3.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

    الثغرة الأمنية : حقن كائن PHP مصدق عليه
    مصححة في الإصدار : 2.3.4
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

    قابلية التأثر : الحذف التعسفي المصادق عليه
    مصححة في الإصدار : 2.3.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L

    الضعف : إجراءات AJAX غير المحمية
    مصححة في الإصدار : 2.3.4
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L

    تم تصحيح الثغرات الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.3.4+.

    ثغرات ثغرات سمة WordPress

    لم يتم الكشف عن أي ثغرات أمنية جديدة هذا الأسبوع.

    يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

    يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

    تقرير ثغرات WordPress