WordPressの脆弱性レポート:2021年6月、パート2

公開: 2021-06-09

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 この投稿を友達と共有して、WordPressをより安全に伝え、すべての人にとってより安全なものにしてください。

6月、パート2レポート
    毎週のWordPressSecurity News&Updatesニュースレターにサインアップしてください
    今すぐ購読

    WordPressのコアの脆弱性

    今日の時点で、WordPressの現在のバージョンは5.7.2です。 すべてのウェブサイトが最新であることを確認してください!

    今月、新しいWordPressコアの脆弱性は公開されていません。

    WordPressプラグインの脆弱性

    1.ElementorのPlusアドオン

    プラグイン: Elementor用のPlusアドオン
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:4.1.12
    重大度

    プラグイン: Elementor用のPlusアドオン
    脆弱性:オープンリダイレクト
    バージョンでパッチが適用されました:4.1.10
    重大度

    プラグイン: Elementor用のPlusアドオン
    脆弱性:任意のリセットPwd電子メール送信
    バージョンでパッチが適用されました:4.1.11
    重大度

    この脆弱性にはパッチが適用されているため、バージョン4.1.11以降に更新する必要があります。

    2.はい/いいえチャート

    プラグイン:はい/いいえチャート
    脆弱性:認証されたブラインドSQLインジェクション
    バージョンでパッチが適用されました:1.0.12
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン1.0.12+に更新する必要があります。

    3.FooGallery

    プラグイン: FooGallery
    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.0.35
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン2.0.35以降に更新する必要があります。

    4.イベントカレンダーWD

    プラグイン:イベントカレンダーWD
    脆弱性:クロスサイトスクリプティング
    バージョンでパッチが適用されました:1.1.45
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン1.1.45以降に更新する必要があります。

    5. MC4WP:WordPress用のMailchimp

    プラグイン: MC4WP:WordPress用のMailchimp
    脆弱性:認証された任意のリダイレクト
    バージョンでパッチが適用されました:4.8.5
    重大度スコア

    プラグイン: MC4WP:WordPress用のMailchimp
    脆弱性:CSRFを介した不正なアクション
    バージョンでパッチが適用されました:4.8.5
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン4.8.5以降に更新する必要があります。

    6.すべての404はホームページにリダイレクトします

    プラグイン:すべての404はホームページにリダイレクトします
    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました既知の修正はありません
    重大度スコア

    この脆弱性にはパッチが適用されていません。 パッチがリリースされるまで、プラグインをアンインストールして削除します。

    7.ファンシープロダクトデザイナー

    プラグイン:ファンシープロダクトデザイナー
    脆弱性:認証されていない任意のファイルのアップロードとRCE
    バージョンでパッチが適用されました:4.6.9
    重大度スコアクリティカル

    この脆弱性にはパッチが適用されているため、バージョン4.6.9以降に更新する必要があります。

    8. GetPaid

    プラグイン: GetPaid
    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.3.4
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン2.3.4以降に更新する必要があります。

    9.クイズと調査マスター

    プラグイン:クイズと調査マスター
    脆弱性:認証されていない保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:7.1.19
    重大度スコア

    プラグイン:クイズと調査マスター
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:7.1.18
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン7.1.18以降に更新する必要があります。

    10.ジェットパック

    Jetpackロゴ

    プラグイン: Jetpack
    脆弱性:カルーセル非公開ページ/添付ファイルコメントのリーク
    バージョンでパッチが適用されました:9.8
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン9.8以降に更新する必要があります。

    WordPressテーマの脆弱性

    報告する新しいWordPressテーマの脆弱性はありません。

    責任ある開示に関する注記

    ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

    責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

    セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

    脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

    ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

    iThemes SecurityProがサイトの既知の脆弱性を発見したときに電子メールアラートを受け取る

    iThemes SecurityProプラグインのSiteScannerは、WordPress Webサイトを、すべてのソフトウェアハッキングの最大の原因である既知の脆弱性を持つ古いプラグインやテーマから保護および保護するもう1つの方法です。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

    iThemes Security Proプラグインは、サイトで脆弱なプラグイン、テーマ、またはWordPressコアバージョンが見つかった場合に、サイトスキャンの結果を電子メールで送信できます。 サイトスキャンの結果がウィジェットに表示されます。

    サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

    Site Scan Schedulingを有効にしたら、プラグインの通知センター設定に移動します。 この画面で、[サイトスキャン結果]セクションまでスクロールします。

    ボックスをクリックして通知メールを有効にし、 [設定を保存]ボタンをクリックします

    これで、スケジュールされたサイトスキャン中に、iThemes SecurityProが既知の脆弱性を発見した場合に電子メールが送信されます。 メールは次のようになります。

    サイトスキャン結果

    iThemes SecurityProを入手してサイトを保護する

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    iThemes SecurityProを入手する

    WordPressの脆弱性レポートの最初の6月の記事を見逃しましたか?

    以下に追いつく:

    2021年6月、パート1

    WordPressの脆弱性レポート