Laporan Kerentanan WordPress: Maret 2021, Bagian 4

Diterbitkan: 2021-03-30

Kerentanan plugin dan tema WordPress baru diungkapkan selama minggu terakhir bulan Maret. Posting ini mencakup plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.

Dalam Laporan Bagian 4 Maret

    Kerentanan Inti WordPress

    Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini.

    Kerentanan Plugin WordPress

    1. Berikan WP

    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2.10.0
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    2. Mapplic dan Mapplic Lite

    Kerentanan : SSRF ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Mapplic Lite 1.0.1 & Mapplic 6.2.1
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    3. MapifyLife

    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    4. Pengujian Halaman AB Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 1.4.13.3
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    5. Berkembang Komentar

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 1.4.15.3
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    6. Pengoptimal Judul Thrive

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 1.3.7.3
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    7. Prospek Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.3.9.4
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    8. Ultimatum Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.3.9.4
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    9. Pembuat Kuis Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.3.9.4
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    10. Magang Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.3.9.4
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    11. Editor Visual Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.6.7.4
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    12. Dasbor Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.3.9.3
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    13. Tepuk Tangan Berkembang

    Kerentanan : Pembaruan Opsi Tidak Diautentikasi
    Ditambal dalam Versi : 2.4.5
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

    14. Pencatat JH 404

    Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    15. Direktori Bisnis

    Kerentanan : Skrip Lintas Situs Tercermin yang Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    16. Facebook untuk WordPress

    Kerentanan : Injeksi Objek PHP dengan Rantai POP
    Ditambal dalam Versi : 3.0.0
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

    Kerentanan : CSRF ke XSS Tersimpan dan Penghapusan Pengaturan
    Ditambal dalam Versi : 3.0.4
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

    17. Penggulung Berita Vertikal

    Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi
    Ditambal dalam Versi : 1.17
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    18. Master Kuis Dan Survei

    Kerentanan : Injeksi SQL yang diautentikasi melalui kode pendek
    Ditambal dalam Versi : 7.1.12
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

    Kerentanan : Injeksi SQL terotentikasi melalui Rest API
    Ditambal dalam Versi : 7.1.14
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

    19. WP-Curricul Vitea Gratis

    Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    20. Formulir Unggah N5

    Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi ke RCE
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

    21. Pembuat Formulir Mudah

    Kerentanan : Unggah File Sewenang-wenang yang Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    22. Patreon WordPress

    Kerentanan : Pengungkapan File Lokal Tidak Diautentikasi
    Ditambal dalam Versi : 1.7.0
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

    Kerentanan : CSRF untuk Menimpa/Membuat Meta Pengguna
    Ditambal dalam Versi : 1.7.0
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

    Kerentanan : CSRF untuk Memutuskan Sambungan Situs Dari Patreon
    Ditambal dalam Versi : 1.7.0
    Keparahan : Sedang – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

    Kerentanan : CSRF untuk Memutuskan Sambungan Situs Dari Patreon
    Ditambal dalam Versi : 1.7.0
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

    Kerentanan : XSS Tercermin pada Formulir Login
    Ditambal dalam Versi : 1.7.2
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

    Kerentanan : XSS Tercermin pada tindakan AJAX patreon_save_attachment_patreon_level
    Ditambal dalam Versi : 1.7.2
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

    23. AccessAlly

    Kerentanan : $_SERVER Kebocoran Superglobal
    Ditambal dalam Versi : 3.5.7
    Keparahan : Tinggi – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

    Kerentanan Tema WordPress

    1. Semua Tema Berkembang Tema Warisan

    Tema yang Terkena Dampak: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive, & Storied
    Kerentanan : Pengunggahan File Sewenang-wenang yang Tidak Diautentikasi dan Penghapusan Opsi
    Ditambal dalam Versi : 2.0.0
    Keparahan : Kritis – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    pengumpulan kerentanan