Laporan Kerentanan WordPress: April 2021, Bagian 2

Diterbitkan: 2021-04-15

Kerentanan plugin dan tema WordPress baru diungkapkan selama minggu kedua bulan April. Posting ini mencakup plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.

Dalam Laporan April, Bagian 2

    Kerentanan Inti WordPress

    Kabar baik! Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini.

    Versi terbaru WordPress saat ini adalah 5.7. Pastikan semua situs web Anda menjalankan inti WordPress versi terbaru.

    Kerentanan Plugin WordPress

    Bagian ini mencakup kerentanan di plugin WordPress dengan instruksi tentang apakah akan memperbarui atau menghapus plugin yang rentan.

    1. Keamanan iThemes Gratis & Pro

    Kerentanan : Sembunyikan Bypass Backend
    Ditambal dalam Versi (Keamanan iThemes) : 7.9.1
    Ditambal dalam Versi (iThemes Security Pro) : 6.8.4
    Keparahan : Tinggi – CVSS:3.1AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/

    Fitur Hide Backend di iThemes Security memungkinkan pengguna untuk menyembunyikan halaman login dengan mengubah namanya dan mencegah akses ke wp-login.php dan wp-admin. Sebuah bug ditemukan di versi di bawah 7.9.1 dari iThemes Security dan di bawah 6.8.4 dari iThemes Security Pro yang membuat halaman login tersembunyi dapat ditemukan, mengurangi efektivitas fitur.

    Perbarui ke versi 7.9.1 dari iThemes Security dan 6.8.4 dari iThemes Security Pro untuk menerima patch solusi bypass Hide Backed.

    Catatan: Anda harus menyadari bahwa fitur sembunyikan backend tidak sepenuhnya terbukti tidak peduli seberapa banyak kami mencoba untuk meningkatkannya. Faktanya, efektivitas menyembunyikan halaman login situs web Anda untuk alasan keamanan adalah mitos keamanan WordPress #1 kami . Mengapa? Yang benar adalah Anda tidak dapat sepenuhnya menyembunyikan backend situs web Anda. Halaman login dapat diekspos oleh inti WordPress, plugin, atau tema saat mencetak tautan ke halaman login (seperti Konfirmasi Permintaan Privasi atau formulir login front-end).

    Sembunyikan Backend tidak boleh digunakan sebagai pengganti tindakan keamanan situs web yang superior, seperti menerapkan kata sandi yang kuat dan otentikasi dua faktor.

    2. Keanggotaan Sederhana

    Kerentanan : Suntikan SQL Terotentikasi
    Ditambal dalam Versi : 4.0.4
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.0.4.

    3. Papan Klip Pembuat Halaman WPBakery

    Kerentanan : Subscriber+ Stored Cross-Site Scripting
    Ditambal dalam Versi : 4.5.6
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

    Kerentanan : Pembaruan Opsi Lisensi Sewenang-wenang yang Tidak Sah
    Ditambal dalam Versi : 4.5.8
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.5.8+

    4. Klien Umum OpenID Connect

    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.8.2
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.8.2+.

    5. Hentikan Spammer

    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2021.9
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 202.9.

    6. Gambar

    Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    7. Plugin Inti WorkScout

    Kerentanan : XSS & XFS Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.3.4
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.4+.

    8. Kalender Larsens

    Kerentanan : Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    9. Penguji Periksa Formulir Kontak

    Kerentanan : Kontrol Akses Rusak ke Skrip Lintas Situs
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    10. Plugin Direktori Bisnis

    Kerentanan : Ekspor Daftar Sewenang-wenang
    Ditambal dalam Versi : 5.11.2
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

    Kerentanan : Pembaruan Riwayat Pembayaran Sewenang-wenang
    Ditambal dalam Versi : 5.11.2
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 5.11.2
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.11.2+.

    11. Spanduk Acara

    Kerentanan : Unggah File Sewenang-wenang ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    12. Classyfried

    Kerentanan : Unggah File Sewenang-wenang yang Diautentikasi ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    13. Impor Penerbit Perguruan Tinggi

    Kerentanan : Unggah File Sewenang-wenang ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    Kerentanan Tema WordPress

    1. Tema Inti WorkScout

    Kerentanan : XSS & XFS Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 2.0.33
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.33+.

    Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    Laporan kerentanan WordPress