WordPressの脆弱性レポート：2021年4月、パート4

公開: 2021-04-28

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。このレポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。各脆弱性の重大度は、低、中、高、または重大です。重大度の評価は、Common Vulnerability ScoringSystemに基づいています。

4月、パート4レポート

受信トレイに配信されるiThemesセキュリティWordPress脆弱性レポートを取得します

レポートにサインアップする

WordPressのコアの脆弱性

WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。

WordPressプラグインの脆弱性

1.アコーディオン

脆弱性：認証されたリフレクトクロスサイトスクリプティング
バージョンでパッチが適用されました：2.2.30
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン2.2.30以降に更新する必要があります。

2. YandexTurboのRSS

脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.30
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：H / UI：N / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.30以降に更新する必要があります。

3.KaswaraモダンVCアドオン

脆弱性：認証されていない任意のファイルのアップロード
バージョンでパッチが適用されました：既知の修正はありません
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

4. WPコンテンツのコピー防止と右クリックなし

脆弱性：CSRFを介した任意のプラグインのインストール/アクティブ化
バージョンでパッチが適用されました：3.4
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：H / I：H / A：H

脆弱性：低特権ユーザーによる任意のプラグインのインストール/アクティベーション
バージョンでパッチが適用されました：3.5.1
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されているため、バージョン3.5.1以降に更新する必要があります。

5.WooCommerceの条件付きマーケティングメーラー

脆弱性：CSRFを介した任意のプラグインのインストール/アクティブ化
バージョンでパッチが適用されました：1.6
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：H / I：H / A：H

脆弱性：低特権ユーザーによる任意のプラグインのインストール/アクティベーション
バージョンでパッチが適用されました：1.5.2
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されているため、バージョン1.6以降に更新する必要があります。

6. Captchinoo、管理者ログインページのGoogle reCAPTCHA

脆弱性：CSRFを介した任意のプラグインのインストール/アクティブ化
バージョンでパッチが適用されました：既知の修正はありません
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：H / I：H / A：H

脆弱性：低特権ユーザーによる任意のプラグインのインストール/アクティベーション
バージョンでパッチが適用されました：既知の修正はありません
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

7.WPメンテナンスモードと建設中のサイト

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

8.ツリーサイトマップ

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

9.ログイン保護–失敗したログイン試行を制限します

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

10.訪問者のトラフィックのリアルタイム統計

脆弱性：CSRFを介した任意のプラグインのインストール/アクティブ化
バージョンでパッチが適用されました：2.13
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：H / I：H / A：H

脆弱性：低特権ユーザーによる任意のプラグインのインストール/アクティベーション
バージョンでパッチが適用されました：2.12
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されているため、バージョン2.13以降に更新する必要があります。

11.ユーザーまたは顧客としてログインします

脆弱性：CSRFを介した任意のプラグインのインストール/アクティブ化
バージョンでパッチが適用されました：2.1
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：H / I：H / A：H

脆弱性：低特権ユーザーによる任意のプラグインのインストール/アクティベーション
バージョンでパッチが適用されました：1.8
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H

この脆弱性にはパッチが適用されているため、バージョン2.1以降に更新する必要があります。

12.404を親にリダイレクトします

脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.3.1
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.3.1以降に更新する必要があります。

13.すべてのカテゴリと分類法を選択します

脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.3.2
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.3.2+に更新する必要があります。

14.ソフトウェアライセンスマネージャー

脆弱性：保存されたXSSに対するCSRF
バージョンでパッチが適用されました：4.4.6
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン4.4.6以降に更新する必要があります。

15.自動車販売業者–自動案内広告スクリプト

脆弱性：認証されていないSQLインジェクション
バージョンでパッチが適用されました：既知の修正はありません
重大度：クリティカル– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：C / C：H / I：L / A：L

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

16.ロケータープラスを保管する

脆弱性：認証されていない保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：既知の修正はありません
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

17. Elementor Free＆Pro用のハッピーアドオン

脆弱性：保存されたクロスサイトスクリプティング
バージョンで無料パッチ：2.24.0
バージョンでパッチが適用されたPro ：1.17.0
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.24.0以降（無料）/ 1.17.0以降（Pro）に更新する必要があります。

18.WP最速キャッシュ

脆弱性：パストラバーサルによる認証済みの任意のファイル削除
バージョンでパッチが適用されました：0.9.1.7
重大度：低– CVSS：3.1 / AV：N / AC：L / PR：H / UI：N / S：U / C：N / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン0.9.1.7以降に更新する必要があります。

19. WPGraphQL

脆弱性：サービス拒否
バージョンでパッチが適用されました：既知の修正はありません
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：U / C：N / I：N / A：H

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

20. WooCommerce

脆弱性：認証済みの保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：5.2.0
重大度：中– CVSS：3.1 / AV：N / AC：H / PR：H / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン5.2.0以降に更新する必要があります。

WordPressテーマの脆弱性

今週、新しいテーマの脆弱性は公開されていません。

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

iThemes SecurityProを入手する

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。