Laporan Kerentanan WordPress: April 2021, Bagian 4

Diterbitkan: 2021-04-28

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan ini mencakup kerentanan plugin, tema, dan inti WordPress terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress. Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.

Dalam Laporan Bagian 4 April

Dapatkan Laporan Kerentanan WordPress Keamanan iThemes dikirimkan ke kotak masuk Anda

Mendaftar untuk laporan

Kerentanan Inti WordPress

WordPress 5.7.1 dirilis pada 15 April 2021. Rilis keamanan dan pemeliharaan ini menampilkan 26 perbaikan bug selain dua perbaikan keamanan. Karena ini adalah rilis keamanan inti WordPress, Anda disarankan untuk segera memperbarui situs Anda!

Kerentanan Plugin WordPress

1. Akordeon

Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi
Ditambal dalam Versi : 2.2.30
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.30+.

2. RSS untuk Yandex Turbo

Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 1.30
Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.30+.

3. Tambahan VC Kaswara Modern

Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

4. Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 3.4
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 3.5.1
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.5.1+.

5. Mailer Pemasaran Bersyarat untuk WooCommerce

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 1.6
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 1.5.2
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6+.

6. Captchinoo, Google recaptcha untuk halaman login admin

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

7. Mode Pemeliharaan WP & Situs Dalam Pembangunan

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

8. Peta Situs Pohon

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

9. Perlindungan Login – Batasi Upaya Login yang Gagal

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

10. Statistik Lalu Lintas Waktu Nyata Pengunjung

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 2.13
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 2.12
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.13+.

11. Login sebagai Pengguna atau Pelanggan

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 2.1
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 1.8
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1+.

12. Redirect 404 ke Induk

Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.3.1
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.1+.

13. Pilih Semua Kategori dan Taksonomi

Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.3.2
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.2+.

14. Manajer Lisensi Perangkat Lunak

Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : 4.4.6
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.6+.

15. Penjual Mobil – Naskah Baris Otomatis

Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

16. Pencari Lokasi Toko Plus

Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

17. Selamat Addons untuk Elementor Gratis & Pro

Kerentanan : Skrip Lintas Situs Tersimpan
Ditambal Gratis dalam Versi : 2.24.0
Pro Ditambal dalam Versi : 1.17.0
Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.24.0+ (Gratis) / 1.17.0+ (Pro).

18. WP Cache Tercepat

Kerentanan : Penghapusan File Sewenang-wenang yang Diautentikasi melalui Path Traversal
Ditambal dalam Versi : 0.9.1.7
Keparahan : Rendah – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.9.1.7+.

19. WPGraphQL

Kerentanan : Denial of Service
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

20. WooCommerce

Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.2.0
Keparahan : Sedang – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.2.0+.

Kerentanan Tema WordPress

Tidak ada kerentanan tema baru yang diungkapkan minggu ini.

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.