WordPressの脆弱性レポート:2021年4月、パート2
公開: 2021-04-15新しいWordPressプラグインとテーマの脆弱性は、4月の第2週に公開されました。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。
WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。
各脆弱性の重大度は、低、中、高、または重大です。 重大度の評価は、Common Vulnerability ScoringSystemに基づいています。
WordPressのコアの脆弱性
WordPressの最新バージョンは現在5.7です。 すべてのウェブサイトが最新バージョンのWordPressコアを実行していることを確認してください。
WordPressプラグインの脆弱性
このセクションでは、WordPressプラグインの脆弱性について説明し、脆弱なプラグインを更新するか削除するかについて説明します。
1. iThemes Security Free&Pro
脆弱性:バックエンドバイパスを非表示
バージョン(iThemesセキュリティ)でパッチが適用されました:7.9.1
バージョンでパッチが適用されました(iThemes Security Pro) :6.8.4
重大度:高– CVSS:3.1AV:N / AC:H / PR:N / UI:N / S:U / C:H / I:H / A:H /
iThemes Securityのバックエンドの非表示機能を使用すると、ユーザーは名前を変更してログインページを非表示にし、wp-login.phpおよびwp-adminへのアクセスを禁止できます。 iThemesSecurityの7.9.1未満およびiThemesSecurity Proの6.8.4未満のバージョンでバグが発見され、非表示のログインページが検出可能になり、機能の有効性が低下しました。
注:バックエンドの非表示機能は、どれだけ改善しようとしても、完全に保護されているわけではないことに注意してください。 実際、セキュリティ上の理由でWebサイトのログインページを非表示にすることの有効性は、WordPressのセキュリティに関する神話の第1位です。 どうして? 真実はあなたがあなたのウェブサイトのバックエンドを完全に隠すことができないということです。 ログインページへのリンクを印刷するときに、WordPressコア、プラグイン、またはテーマによってログインページが公開される場合があります(プライバシー要求の確認やフロントエンドのログインフォームなど)。
2.シンプルなメンバーシップ
脆弱性:認証されたSQLインジェクション
バージョンでパッチが適用されました:4.0.4
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:C / C:H / I:H / A:L
3.WPBakeryページビルダークリップボード
脆弱性:サブスクライバー+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:4.5.6
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:H / I:H / A:L
脆弱性:無許可の任意のライセンスオプションの更新
バージョンでパッチが適用されました:4.5.8
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:N / I:L / A:N
4. OpenIDConnect汎用クライアント
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:3.8.2
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:N
5.スパマーを停止します
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:2021.9
重大度:中– CVSS:3.1 / AV:N / AC:H / PR:N / UI:R / S:C / C:L / I:L / A:N
6.画像
脆弱性:RCEへの認証されていない任意のファイルのアップロード
バージョンでパッチが適用されました:既知の修正はありません
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H
7.WorkScoutコアプラグイン
脆弱性:認証済みの保存されたXSSおよびXFS
バージョンでパッチが適用されました:1.3.4
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:L
8.ラーセンスカレンダー
脆弱性:保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L
9.フォームチェックテスターにお問い合わせください
脆弱性:クロスサイトスクリプティングへのアクセス制御が壊れている
バージョンでパッチが適用されました:既知の修正はありません
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:L
10.ビジネスディレクトリプラグイン
脆弱性:任意のリストのエクスポート
バージョンでパッチが適用されました:5.11.2
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:N / A:N
脆弱性:任意の支払い履歴の更新
バージョンでパッチが適用されました:5.11.2
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:N / I:L / A:N
脆弱性:認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました:5.11.2
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:C / C:L / I:L / A:L
11.イベントバナー
脆弱性:RCEへの任意のファイルのアップロード
バージョンでパッチが適用されました:既知の修正はありません
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:H / A:H
12.クラッシーフライド
脆弱性:RCEへの認証済み任意ファイルのアップロード
バージョンでパッチが適用されました:既知の修正はありません
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:H / A:H
13.大学出版社のインポート
脆弱性:RCEへの任意のファイルのアップロード
バージョンでパッチが適用されました:既知の修正はありません
重大度:クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:H / A:H
WordPressテーマの脆弱性
1.WorkScoutコアテーマ
脆弱性:認証済みの保存されたXSSおよびXFS
バージョンでパッチが適用されました:2.0.33
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:L
WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
iThemes SecurityProを入手する
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
