WordPressの脆弱性レポート:2021年4月、パート3
公開: 2021-04-22脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。
WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。 各脆弱性の重大度は、低、中、高、または重大です。 重大度の評価は、Common Vulnerability ScoringSystemに基づいています。
WordPressのコアの脆弱性
WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。 これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。
1. WordPress 5.6 – 5.7
脆弱性:PHP8に影響を与えるメディアライブラリ内の認証済みXXE
バージョンでパッチが適用されました:5.7
重大度:高– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
2. WordPress 4.7-5.7
脆弱性:認証されたパスワードで保護されたページの公開
バージョンでパッチが適用されました:5.7
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:N / A:N
WordPressプラグインの脆弱性
1.Elementor用のLivemeshアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:6.8
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
2. HT Mega –Elementorの絶対アドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.5.7
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
3. WooLentor – WooCommerceElementorアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.8.6
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
4. BuddyPress

脆弱性:複数の認証されたRESTAPIの脆弱性
バージョンでパッチが適用されました:7.3.0
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:L / A:N
5.Elementor用のPowerPackアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:2.3.2
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
6.画像ホバー効果–Elementorアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.3.4
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
7. RifeElementor拡張機能とテンプレート

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.1.6
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
8.ElementorのPlusアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:2.0.6
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
9.Elementor用のオールインワンアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:2.3.10
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
10.ElementorのJetWidgets

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されます:
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
11.ElementorのSina拡張機能

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:3.3.12
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
12.Elementorの究極のアドオン

脆弱性:保存されたクロスサイトスクリプティング(XSS)
バージョンでパッチが適用されました:1.30.0
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

13.フィットネス計算機

脆弱性:クロスサイトスクリプティングへのクロスサイトリクエストフォージェリ
バージョンでパッチが適用されました:1.9.6
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L
14.ユーザー権利アクセスマネージャー

脆弱性:不適切なアクセス制御
バージョンでパッチが適用されました:1.0.4
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:C / C:L / I:L / A:L
15.Elementor用の賢いアドオン

脆弱性:保存されたクロスサイトスクリプティングXSS
バージョンでパッチが適用されました:2.1.0
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N
16.簡単なデジタルダウンロード

脆弱性:CSRFを介した不正なストライプ切断
バージョンでパッチが適用されました:2.10.3
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:L / A:L
17.エドワイザー橋

脆弱性:CSRFノンスバイパス
バージョンでパッチが適用されました:2.0.7
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:L / A:N
18.WordPressダウンロードマネージャー

脆弱性:不正なダウンロードの複製
バージョンでパッチが適用されました:3.1.18
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:L / A:N
19.SupsysticによるUltimateMaps

脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.2.5
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L
20.Supsysticによるポップアップ

脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.10.5
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L
21.10Webによるフォトギャラリー

脆弱性:複数の反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:1.5.69
重大度:高– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L
22.お問い合わせフォーム7のリダイレクト

脆弱性:認証されていない任意のノンス生成
バージョンでパッチが適用されました:2.3.4
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N
脆弱性:認証された任意のプラグインのインストール
バージョンでパッチが適用されました:2.3.4
重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:L / A:N
脆弱性:認証されたPHPオブジェクトの注入
バージョンでパッチが適用されました:2.3.4
重大度:高– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
脆弱性:認証された任意の削除後
バージョンでパッチが適用されました:2.3.4
重大度:中– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:N / I:L / A:L
脆弱性:保護されていないAJAXアクション
バージョンでパッチが適用されました:2.3.4
重大度:中– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:L / A:L
WordPressテーマの脆弱性
WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます
WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。
Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。
