تقرير ثغرات WordPress: مارس 2021 ، الجزء 4
نشرت: 2021-03-30تم الكشف عن مكون WordPress الإضافي الجديد والثغرات الأمنية خلال الأسبوع الأخير من شهر مارس. يغطي هذا المنشور المكون الإضافي الأخير والموضوع ونقاط الضعف الأساسية في WordPress وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.
نقاط الضعف الأساسية في ووردبريس
نقاط الضعف في البرنامج المساعد WordPress
1. GiveWP
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.10.0
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. Mapplic و Mapplic Lite
الضعف : SSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : Mapplic Lite 1.0.1 & Mapplic 6.2.1
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
3. MapifyLife
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
4. تزدهر اختبار صفحة AB
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 1.4.13.3
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
5. تزدهر التعليقات
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 1.4.15.3
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
6. تزدهر العنوان محسن
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 1.3.7.3
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
7. تزدهر يؤدي
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.3.9.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
8. تزدهر الإنذار
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.3.9.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
9. تزدهر مسابقة باني
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.3.9.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
10. تزدهر المبتدئ
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.3.9.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
11. تزدهر المحرر المرئي
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.6.7.4
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
12. تزدهر لوحة القيادة
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.3.9.3
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
13. تزدهر الحفاوة
الثغرة الأمنية : تحديث خيار غير مصدق
مصححة في الإصدار : 2.4.5
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N
14. JH 404 المسجل
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
15. دليل الأعمال
الضعف : برمجة نصية عاكسة عبر المواقع غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N
16. Facebook for WordPress
الضعف : حقن كائن PHP مع سلسلة POP
مصححة في الإصدار : 3.0.0
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
الثغرة الأمنية : CSRF لتخزين XSS وحذف الإعدادات
مصححة في الإصدار : 3.0.4
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
17. شريط تمرير الأخبار العمودي
الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
مصححة في الإصدار : 1.17.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
18. اختبار ومسح ماجستير
الثغرات الأمنية : حقن SQL مصدق عبر الرمز القصير
مصححة في الإصدار : 7.1.12
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
الثغرة الأمنية : حقن SQL مصدق عبر Rest API
مصححة في الإصدار : 7.1.14
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H
19. WP-Curricul Vitea مجاني
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
20. نموذج تحميل N5
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق إلى RCE
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
21. منشئ النموذج السهل
الثغرة الأمنية : تحميل ملف تعسفي مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
22. Patreon WordPress
الثغرة الأمنية : إفشاء ملف محلي غير مصدق
مصححة في الإصدار : 1.7.0
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
الثغرة الأمنية : CSRF للكتابة فوق / إنشاء بيانات تعريف المستخدم
مصححة في الإصدار : 1.7.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
الثغرة الأمنية : CSRF لفصل المواقع عن Patreon
مصححة في الإصدار : 1.7.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H
الثغرة الأمنية : CSRF لفصل المواقع عن Patreon
مصححة في الإصدار : 1.7.0
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
الضعف : انعكاس XSS في نموذج تسجيل الدخول
مصححة في الإصدار : 1.7.2
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
الثغرة الأمنية : انعكاس XSS على إجراء patreon_save_attachment_patreon_level AJAX
مصححة في الإصدار : 1.7.2
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
23. AccessAlly
الضعف : $ _SERVER Superglobal Leakage
مصححة في الإصدار : 3.5.7
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N
ثغرات ثغرات سمة WordPress
1. تزدهر جميع الموضوعات القديمة
الموضوعات المتأثرة: الارتفاع ، الفاخر ، الناقص ، الإشعال ، مدونة التركيز ، التربيع ، الصوت ، الأداء ، الضغط ، والتخزين
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق وحذف الخيار
مصححة في الإصدار : 2.0.0
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
