Laporan Kerentanan WordPress: Juni 2021, Bagian 3

Diterbitkan: 2021-06-16

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Dalam Laporan Juni, Bagian 3
    Dapatkan Laporan Kerentanan WordPress mingguan dikirimkan langsung ke kotak masuk Anda!
    Daftar sekarang

    Kerentanan Inti WordPress

    Sampai hari ini, versi WordPress saat ini adalah 5.7.2. Pastikan untuk memastikan semua situs web Anda mutakhir!

    Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini. Pastikan Anda menjalankan WordPress 5.7.2 di semua situs Anda.

    Kerentanan Plugin WordPress

    1. Baru-baru ini

    Plugin: Baru-baru ini
    Kerentanan : Injeksi Kode Otentikasi
    Ditambal dalam Versi : 3.0.5
    Keparahan : Tinggi

    Plugin: Baru-baru ini
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 3.0.5
    Keparahan : Sedang

    2. Posting Populer WordPress

    Plugin: Posting Populer WordPress
    Kerentanan : Injeksi Kode Otentikasi
    Ditambal dalam Versi : 5.3.3
    Skor Keparahan : Tinggi

    Plugin: Posting Populer WordPress
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 5.3.3
    Skor Keparahan : Sedang

    3. Pengerasan WP

    Plugin: Pengerasan WP
    Kerentanan : Skrip Lintas Situs Tercermin melalui URI
    Ditambal dalam Versi : 1.2.2
    Skor Keparahan : Sedang

    Plugin: Pengerasan WP
    Kerentanan : Skrip Lintas Situs Tercermin melalui nilai sejarah
    Ditambal dalam Versi : 1.2.2
    Skor Keparahan : Tinggi

    4. Komentar Suka Tidak Suka

    Plugin: Komentar Suka Tidak Suka
    Kerentanan : Tambahkan Bypass Suka/Tidak Suka
    Ditambal dalam Versi : 1.1.4
    Skor Keparahan : Sedang

    5. Editor File Konfigurasi WP

    Plugin: Editor File Konfigurasi WP
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Sedang

    6. Admin Kolom Gratis & Pro

    Plugin: Kolom Admin Gratis
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 4.3
    Skor Keparahan : Sedang

    Plugin: Admin Kolom Pro
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 5.5.1
    Skor Keparahan : Sedang

    7. WP Google Maps

    Plugin: WP Google Maps
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 8.1.12
    Skor Keparahan : Sedang

    8. Gerbang Pembayaran Stripe untuk WooCommerce

    Plugin: Gerbang Pembayaran Stripe untuk WooCommerce
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.6.0
    Skor Keparahan : Tinggi

    9. Qtranslate Slug

    Plugin: Qtranslate Slug
    Kerentanan : CSRF Bypass
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Sedang

    10. Kustom css-js-php

    Plugin: Kustom css-js-php
    Kerentanan : CSRF Bypass
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Sedang

    11. Beberapa Peran

    Plugin: Banyak Peran
    Kerentanan : CSRF Bypass
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Sedang

    12. Solusi Pasar Multivendor untuk WooCommerce

    Plugin: Solusi Pasar Multivendor untuk WooCommerce
    Kerentanan : CSRF Bypass
    Ditambal dalam Versi : 3.74
    Skor Keparahan : Sedang

    13. JoomSport

    Logo JoomSport

    Plugin: JoomSport
    Kerentanan : Injeksi Objek PHP Tidak Diautentikasi
    Ditambal dalam Versi : 5.1.8
    Skor Keparahan : Sedang

    14. Penggeser Cerdas 3

    Plugin: Penggeser Cerdas 3
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 3.5.0.9
    Skor Keparahan : Sedang

    15. Kebijakan Cookie Mudah

    Plugin: Kebijakan Cookie Mudah
    Kerentanan : Kontrol Akses Rusak ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    16. Welcart e-Commerce

    Plugin: Welcart e-Commerce
    Kerentanan : Skrip Lintas Situs
    Ditambal dalam Versi : 2.2.4
    Skor Keparahan : Sedang

    17. Doa WP

    Plugin: WP Doa
    Kerentanan : Pembaruan Pengaturan Plugin Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 1.6.7
    Skor Keparahan : Sedang

    Kerentanan Tema WordPress

    1. Jannah

    Tema: Jannah
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 5.4.4
    Skor Keparahan : Tinggi

    2. Tema motor

    Tema: Tema motor
    Kerentanan : Penyertaan File Lokal Tidak Diautentikasi
    Ditambal dalam Versi : 3.1.0
    Skor Keparahan : Tinggi

    3. Real Estat 7

    Tema: Real Estat 7
    Kerentanan : 3.1.1
    Ditambal dalam Versi : Skrip Lintas Situs Tercermin
    Skor Keparahan : Tinggi

    Catatan tentang Pengungkapan yang Bertanggung Jawab

    Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

    Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

    Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

    Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

    Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

    Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda

    Pemindai Situs plugin iThemes Security Pro adalah cara lain untuk mengamankan dan melindungi situs web WordPress Anda dari penyebab nomor satu dari semua peretasan perangkat lunak: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

    Plugin iThemes Security Pro dapat mengirimi Anda email hasil Pemindaian Situs jika menemukan plugin, tema, atau versi inti WordPress yang rentan di situs Anda. Hasil Pemindaian Situs akan ditampilkan di widget.

    Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

    Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

    Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .

    Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

    situs-scan-hasil

    Dapatkan iThemes Security Pro untuk Mengamankan Situs Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    Apakah Anda Melewatkan Laporan Kerentanan WordPress Juni?

    Catat di bawah ini:

    • Juni 2021, Bagian 1
    • Juni 2021, Bagian 2