Laporan Kerentanan WordPress: April 2021, Bagian 4

Diterbitkan: 2021-04-28

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan ini mencakup kerentanan plugin, tema, dan inti WordPress terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress. Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.

Dalam Laporan Bagian 4 April
    Dapatkan Laporan Kerentanan WordPress Keamanan iThemes dikirimkan ke kotak masuk Anda
    Mendaftar untuk laporan

    Kerentanan Inti WordPress

    WordPress 5.7.1 dirilis pada 15 April 2021. Rilis keamanan dan pemeliharaan ini menampilkan 26 perbaikan bug selain dua perbaikan keamanan. Karena ini adalah rilis keamanan inti WordPress, Anda disarankan untuk segera memperbarui situs Anda!

    Kerentanan Plugin WordPress

    1. Akordeon

    Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi
    Ditambal dalam Versi : 2.2.30
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.30+.

    2. RSS untuk Yandex Turbo

    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.30
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.30+.

    3. Tambahan VC Kaswara Modern

    Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    4. Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 3.4
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : 3.5.1
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.5.1+.

    5. Mailer Pemasaran Bersyarat untuk WooCommerce

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 1.6
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : 1.5.2
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6+.

    6. Captchinoo, Google recaptcha untuk halaman login admin

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    7. Mode Pemeliharaan WP & Situs Dalam Pembangunan

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    8. Peta Situs Pohon

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    9. Perlindungan Login – Batasi Upaya Login yang Gagal

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    10. Statistik Lalu Lintas Waktu Nyata Pengunjung

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 2.13
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : 2.12
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.13+.

    11. Login sebagai Pengguna atau Pelanggan

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 2.1
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
    Ditambal dalam Versi : 1.8
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1+.

    12. Redirect 404 ke Induk

    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.3.1
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.1+.

    13. Pilih Semua Kategori dan Taksonomi

    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.3.2
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.2+.

    14. Manajer Lisensi Perangkat Lunak

    Kerentanan : CSRF ke XSS Tersimpan
    Ditambal dalam Versi : 4.4.6
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.6+.

    15. Penjual Mobil – Naskah Baris Otomatis

    Kerentanan : Injeksi SQL Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    16. Pencari Lokasi Toko Plus

    Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    17. Selamat Addons untuk Elementor Gratis & Pro

    Kerentanan : Skrip Lintas Situs Tersimpan
    Ditambal Gratis dalam Versi : 2.24.0
    Pro Ditambal dalam Versi : 1.17.0
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.24.0+ (Gratis) / 1.17.0+ (Pro).

    18. WP Cache Tercepat

    Logo Cache WP Tercepat

    Kerentanan : Penghapusan File Sewenang-wenang yang Diautentikasi melalui Path Traversal
    Ditambal dalam Versi : 0.9.1.7
    Keparahan : Rendah – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.9.1.7+.

    19. WPGraphQL

    Kerentanan : Denial of Service
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    20. WooCommerce

    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 5.2.0
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.2.0+.

    Kerentanan Tema WordPress

    Tidak ada kerentanan tema baru yang diungkapkan minggu ini.

    Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro