Laporan Kerentanan WordPress: Juni 2021, Bagian 2

Diterbitkan: 2021-06-09

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Dalam Laporan Juni, Bagian 2
    Mendaftar untuk buletin Berita & Pembaruan Keamanan WordPress mingguan
    Berlangganan sekarang

    Kerentanan Inti WordPress

    Sampai hari ini, versi WordPress saat ini adalah 5.7.2. Pastikan untuk memastikan semua situs web Anda mutakhir!

    Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini.

    Kerentanan Plugin WordPress

    1. Plus Addons untuk Elementor

    Plugin: Addons Plus untuk Elementor
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 4.1.12
    Keparahan : Sedang

    Plugin: Addons Plus untuk Elementor
    Kerentanan : Open Redirect
    Ditambal dalam Versi : 4.1.10
    Keparahan : Sedang

    Plugin: Addons Plus untuk Elementor
    Kerentanan : Reset Sewenang-wenang Pengiriman Email Pwd
    Ditambal dalam Versi : 4.1.11
    Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.11+.

    2. Bagan Ya/Tidak

    Plugin: Ya/Tidak Bagan
    Kerentanan : Injeksi SQL Buta yang Diautentikasi
    Ditambal dalam Versi : 1.0.12
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.12+.

    3. FooGallery

    Plugin: FooGallery
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 2.0.35
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.35+.

    4. Kalender Acara WD

    Plugin: Kalender Acara WD
    Kerentanan : Skrip Lintas Situs
    Ditambal dalam Versi : 1.1.45
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.45+.

    5. MC4WP: Mailchimp untuk WordPress

    Plugin: MC4WP: Mailchimp untuk WordPress
    Kerentanan : Pengalihan Sewenang-wenang yang Diautentikasi
    Ditambal dalam Versi : 4.8.5
    Skor Keparahan : Sedang

    Plugin: MC4WP: Mailchimp untuk WordPress
    Kerentanan : Tindakan Tidak Sah melalui CSRF
    Ditambal dalam Versi : 4.8.5
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.8.5+.

    6. Semua 404 Redirect ke Beranda

    Plugin: Semua 404 Redirect ke Beranda
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Sedang

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    7. Desainer Produk Mewah

    Plugin: Desainer Produk Mewah
    Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi dan RCE
    Ditambal dalam Versi : 4.6.9
    Skor Keparahan : Kritis

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.6.9+.

    8. Dapatkan Bayaran

    Plugin: GetPaid
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 2.3.4
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.3.4+.

    9. Master Kuis Dan Survei

    Plugin: Master Kuis Dan Survei
    Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
    Ditambal dalam Versi : 7.1.19
    Skor Keparahan : Tinggi

    Plugin: Master Kuis Dan Survei
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 7.1.18
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.1.18+.

    10. Jetpack

    Logo Jetpack

    Plugin: Jetpack
    Kerentanan : Bocoran Komentar Korsel Halaman yang Tidak Diterbitkan/Lampiran Posting
    Ditambal dalam Versi : 9.8
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 9.8+.

    Kerentanan Tema WordPress

    Tidak ada kerentanan tema WordPress baru untuk dilaporkan.

    Catatan tentang Pengungkapan yang Bertanggung Jawab

    Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

    Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

    Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

    Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

    Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

    Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda

    Pemindai Situs plugin iThemes Security Pro adalah cara lain untuk mengamankan dan melindungi situs web WordPress Anda dari penyebab nomor satu dari semua peretasan perangkat lunak: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

    Plugin iThemes Security Pro dapat mengirimi Anda email hasil Pemindaian Situs jika menemukan plugin, tema, atau versi inti WordPress yang rentan di situs Anda. Hasil Pemindaian Situs akan ditampilkan di widget.

    Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

    Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

    Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .

    Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

    situs-scan-hasil

    Dapatkan iThemes Security Pro untuk Mengamankan Situs Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    Apakah Anda Melewatkan Angsuran Juni Pertama dari Laporan Kerentanan WordPress?

    Catat di bawah ini:

    Juni 2021, Bagian 1

    Laporan Kerentanan WordPress