Laporan Kerentanan WordPress: April 2021, Bagian 4
Diterbitkan: 2021-04-28Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan ini mencakup kerentanan plugin, tema, dan inti WordPress terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress. Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.
Kerentanan Inti WordPress
WordPress 5.7.1 dirilis pada 15 April 2021. Rilis keamanan dan pemeliharaan ini menampilkan 26 perbaikan bug selain dua perbaikan keamanan. Karena ini adalah rilis keamanan inti WordPress, Anda disarankan untuk segera memperbarui situs Anda!
Kerentanan Plugin WordPress
1. Akordeon

Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi
Ditambal dalam Versi : 2.2.30
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. RSS untuk Yandex Turbo

Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 1.30
Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Tambahan VC Kaswara Modern
Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 3.4
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 3.5.1
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. Mailer Pemasaran Bersyarat untuk WooCommerce

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 1.6
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 1.5.2
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha untuk halaman login admin
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. Mode Pemeliharaan WP & Situs Dalam Pembangunan
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. Peta Situs Pohon
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. Perlindungan Login – Batasi Upaya Login yang Gagal
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. Statistik Lalu Lintas Waktu Nyata Pengunjung

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 2.13
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 2.12
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. Login sebagai Pengguna atau Pelanggan

Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 2.1
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang melalui Pengguna Privilege Rendah
Ditambal dalam Versi : 1.8
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. Redirect 404 ke Induk

Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.3.1
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. Pilih Semua Kategori dan Taksonomi
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.3.2
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Manajer Lisensi Perangkat Lunak

Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : 4.4.6
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. Penjual Mobil – Naskah Baris Otomatis
Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. Pencari Lokasi Toko Plus
Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Selamat Addons untuk Elementor Gratis & Pro

Kerentanan : Skrip Lintas Situs Tersimpan
Ditambal Gratis dalam Versi : 2.24.0
Pro Ditambal dalam Versi : 1.17.0
Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP Cache Tercepat

Kerentanan : Penghapusan File Sewenang-wenang yang Diautentikasi melalui Path Traversal
Ditambal dalam Versi : 0.9.1.7
Keparahan : Rendah – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
Kerentanan : Denial of Service
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. WooCommerce

Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.2.0
Keparahan : Sedang – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Kerentanan Tema WordPress
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
