Laporan Kerentanan WordPress: Agustus 2021, Bagian 4

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Sebagai salah satu Laporan Kerentanan WordPress terbesar hingga saat ini, silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Kerentanan Inti WordPress

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

1. rucy

Plugin: rucy
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Sedang

2. WP-Backgrounds Lite

Plugin: WP-Backgrounds Lite
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

3. Pertanyaan Keamanan WP

Plugin: Pertanyaan Keamanan WP
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

4. Event Espresso 4 Decaf – Pendaftaran Acara Tiket Acara

Plugin: WEvent Espresso 4 Decaf – Pendaftaran Acara Tiket Acara
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

5. Galeri Foto WordPress – Galeri Gambar

Plugin: Galeri Foto WordPress – Galeri Gambar
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

6. Perkebunan Opal

Plugin: Opal Estate
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

7. Sinkronkan ke Etsy Marketplace dari WooCommerce

Plugin: Sinkronkan ke Etsy Marketplace dari WooCommerce
Kerentanan : Bypass RCSRF
Ditambal dalam Versi : 3.3.2
Skor Keparahan : Sedang

8. RAYS Grid

Plugin: RAYS Grid
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

9. Jual Media

Plugin: Jual Media
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

10. eCommerce Sederhana

Plugin: eCommerce Sederhana
Kerentanan : Unggah File Sewenang-wenang
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Kritis

11. Kursus WP LMS

Plugin: WP Kursus LMS
Kerentanan : XSS Tersimpan yang Diautentikasi melalui Video Embed Code
Ditambal dalam Versi : 2.0.44
Skor Keparahan : Rendah

Plugin: WP Kursus LMS
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.0.44
Skor Keparahan : Tinggi

12. Bookmark & ​​Favorit CBX

Plugin: CBX Bookmark & ​​Favorit
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.6.9
Skor Keparahan : Tinggi

13. Gerbang Setelah Bayar untuk WooCommerce

Plugin: Gerbang Afterpay untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.2.1
Skor Keparahan : Tinggi

14. Tautan Otomatis Amazon

Plugin: Tautan Otomatis Amazon
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 4.6.20
Skor Keparahan : Tinggi

15. Posting Korsel

Plugin: Post Carousel
Kerentanan : Panggilan AJAX Tidak Sah
Ditambal dalam Versi : 2.3.5
Skor Keparahan : Sedang

16. Umpan Pos Sosial Smash Balloon

Plugin: Smash Balloon Social Post Feed
Kerentanan : XSS Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : 2.19.2
Skor Keparahan : Kritis

17. Hentikan Pencacahan Pengguna

Plugin: Hentikan Pencacahan Pengguna
Kerentanan : REST API Bypass
Ditambal dalam Versi : 1.3.9
Skor Keparahan : Sedang

18. Bendera Bilah Bahasa

Plugin: Bendera Bilah Bahasa
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

19. Artileri Email

Plugin: Artileri Email
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin: Artileri Email
Kerentanan : Beberapa Skrip Lintas Situs yang Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin: Artileri Email
Kerentanan : Beberapa Suntikan SQL Terautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin: Artileri Email
Kerentanan : Unggah File Sewenang-wenang
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

20. SEOPress 5.0.0

Plugin: SEOPress 5.0.0
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.0.4
Skor Keparahan : Sedang

21. Manajer Proyek & Dokumen SP

Plugin: Manajer Proyek & Dokumen SP
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 4.26
Skor Keparahan : Tinggi

Plugin: Manajer Proyek & Dokumen SP
Kerentanan : Unggahan Shell yang Diautentikasi
Ditambal dalam Versi : 4.22
Skor Keparahan : Sedang

22. Sistem Tiket Lanjutan WordPress

Plugin: Sistem Tiket Lanjutan WordPress
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) Terotentikasi
Ditambal dalam Versi : 1.0.64
Skor Keparahan : Rendah

23. Permintaan Penawaran WPHEKA

Plugin: Permintaan Penawaran WPHEKA
Kerentanan : CSRF Bypass
Ditambal dalam Versi : 1.3
Skor Keparahan : Sedang

24. WAll 404 Redirect ke Beranda

Plugin: Semua 404 Redirect ke Beranda
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) Terotentikasi
Ditambal dalam Versi : 2.1
Skor Keparahan : Rendah

25. Penampil file

Plugin: Penampil file
Kerentanan : Unggah/Penghapusan File Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Kritis

26. Toko eCommerce

Plugin: Toko eCommerce
Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Kritis

27. Kalender Pertunjukan MF

Plugin: Kalender Gig MF
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

28. BuddyPress

Plugin: BuddyPress
Kerentanan : Pengungkapan Kunci Aktivasi
Ditambal dalam Versi : 9.1.1
Skor Keparahan : Sedang

Plugin: BuddyPress
Kerentanan : Injeksi SQL
Ditambal dalam Versi : 9.1.1
Skor Keparahan : Tinggi

29. Jock on air sekarang

Plugin: Jock on air sekarang
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.6.3
Skor Keparahan : Rendah

Plugin: Jock on air sekarang
Kerentanan : Pembaruan Pengaturan Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 5.6.2
Skor Keparahan : Sedang

Plugin: Jock on air sekarang
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 5.6.2
Skor Keparahan : Tinggi

30. ThinkTwit

Plugin: ThinkTwit
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) Terotentikasi
Ditambal dalam Versi : 1.7.1
Skor Keparahan : Rendah

31. Keranjang Belanja & Toko eCommerce

Plugin: Keranjang Belanja & Toko eCommerce
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

32. Gutenslider

Plugin: Gutenslider
Kerentanan : Kontributor + XSS Tersimpan
Ditambal dalam Versi : 5.2.0
Skor Keparahan : Sedang

33. Pratinjau Tautan Visual

Plugin: Pratinjau Tautan Visual
Kerentanan : Panggilan AJAX Tidak Sah
Ditambal dalam Versi : 2.2.3
Skor Keparahan : Sedang

34. Cetak Blog Saya

Plugin: Cetak Blog Saya
Kerentanan : Penonaktifan Plugin melalui CSRF
Ditambal dalam Versi : 3.4.2
Skor Keparahan : Sedang

35. Tajuk Percikan

Plugin: Splash Header
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) Terotentikasi
Ditambal dalam Versi : 1.20.8
Skor Keparahan : Rendah

36. formulir Anda untuk WordPress

Plugin: youForms untuk WordPress
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

37. Kalender Ketersediaan

Plugin: Kalender Ketersediaan
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

Plugin: Kalender Ketersediaan
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

38. WP Mapa Politico Espana

Plugin: WP Mapa Politico Espana
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

39. Widget Alojapro

Plugin: Widget Alojapro
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi (XSS)
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

40. Anda Shang

Plugin: Anda Shang
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

41. Dialog WP

Plugin: WP Dialog
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

42. Donasi Dengan QRCode

Plugin: Donasi Dengan QRCode
Kerentanan : Subscriber+ Stored Cross-Site Scripting
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

43. Menu Seluler WP

Plugin: Titan Framework – Menu Seluler WP
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : 2.8.2.3
Skor Keparahan : Tinggi

44. Formulir Kontak W3SCloud 7 ke Zoho CRM

Plugin: Titan Framework – Formulir Kontak W3SCloud 7 ke Zoho CRM
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : 2.1.0
Skor Keparahan : Tinggi

45. Login dan Dasbor Kustom Erident

Plugin: Login dan Dasbor Kustom Erident
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) Terotentikasi
Ditambal dalam Versi : 3.5.9
Skor Keparahan : Rendah

46. ​​Keamanan Cerber WP

Plugin: Keamanan WP Cerber
Kerentanan : Bypass Perlindungan Rest-API
Ditambal dalam Versi : 8.9.3
Skor Keparahan : Sedang

Plugin: Keamanan WP Cerber
Kerentanan : Bypass Otentikasi 2FA
Ditambal dalam Versi : 8.9.3
Skor Keparahan : Sedang

47. Portofolio Foto Flagallery

Plugin: Portofolio Foto Flagallery
Kerentanan : Pengungkapan Jalur Lengkap
Ditambal dalam Versi : 4.25
Skor Keparahan : Sedang

48. Galeri Album Flash GRAND

Plugin: Galeri Album Flash GRAND
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.67
Skor Keparahan : Tinggi

Plugin: Galeri Album Flash GRAND 0.55
Kerentanan : lib/hitcounter.php pid Parameter SQL Injection
Ditambal dalam Versi : 0.60
Skor Keparahan :

Plugin: Galeri Album Flash GRAND
Kerentanan : Skrip Lintas Situs yang Tercermin melalui parameter skin wp-admin/admin.php
Ditambal dalam Versi : 1.76
Skor Keparahan : Tinggi

Plugin: Galeri Album Flash GRAND 1.9.0 & 2.0.0
Kerentanan : Beberapa Kerentanan
Ditambal dalam Versi : 2.10
Skor Keparahan :

49. Panggilan Video 2 Arah dan Obrolan Acak

Plugin: Panggilan Video 2 Arah dan Obrolan Acak
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 5.2.8
Skor Keparahan : Tinggi

Kerentanan Tema WordPress

Catatan tentang Pengungkapan yang Bertanggung Jawab

Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Nyalakan Pemindai Situs Pro Keamanan iThemes

Pemindai Situs plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

Untuk mengaktifkan Pemindaian Situs pada pemasangan baru, navigasikan ke tab Pemeriksaan Situs pada menu Fitur di dalam plugin dan klik sakelar untuk mengaktifkan Pemindaian Situs .

Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada kartu Dasbor Keamanan Pemindaian Situs.

Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.

2. Aktifkan Manajemen Versi ke Pembaruan Otomatis jika Memperbaiki Kerentanan

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda saat perangkat lunak usang tidak diperbarui dengan cukup cepat. Bahkan tindakan keamanan terkuat pun akan gagal jika Anda menjalankan perangkat lunak yang rentan di situs web Anda. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk memperbarui ke versi baru secara otomatis jika ada kerentanan yang diketahui dan tambalan tersedia.

Dari halaman Pengaturan di iThemes Security Pro, navigasikan ke layar Fitur. Klik tab Periksa Situs. Dari sini, gunakan sakelar untuk mengaktifkan Manajemen Versi. Dengan menggunakan roda gigi pengaturan, Anda dapat mengonfigurasi lebih banyak pengaturan, termasuk bagaimana Anda ingin iThemes Security Pro menangani pembaruan WordPress, plugin, tema, dan perlindungan tambahan.

Pastikan untuk memilih Pembaruan Otomatis jika itu Memperbaiki kotak Kerentanan sehingga iThemes Security Pro akan secara otomatis memperbarui plugin atau tema jika memperbaiki kerentanan yang ditemukan oleh Pemindai Situs.

3. Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda

Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .

Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

Dapatkan iThemes Security Pro dan Istirahatlah Sedikit Lebih Mudah Malam Ini

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.