Rapporto sulla vulnerabilità di WordPress: aprile 2021, parte 3

Pubblicato: 2021-04-22

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Questo post copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plug-in o temi vulnerabili sul tuo sito web.

Il riepilogo delle vulnerabilità di WordPress è diviso in tre diverse categorie: core di WordPress, plugin di WordPress e temi di WordPress. Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . Le valutazioni di gravità si basano sul sistema di punteggio di vulnerabilità comune.

Nel rapporto di aprile, parte 3

    Vulnerabilità principali di WordPress

    WordPress 5.7.1 è stato rilasciato il 15 aprile 2021. Questa versione di sicurezza e manutenzione presenta 26 correzioni di bug oltre a due correzioni di sicurezza. Poiché questa è una versione di sicurezza del core di WordPress, ti consigliamo di aggiornare immediatamente i tuoi siti!

    1. WordPress 5.6 – 5.7

    Vulnerabilità : XXE autenticato all'interno della libreria multimediale che interessa PHP 8
    Patchato nella versione : 5.7
    Gravità : Alta – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    La vulnerabilità è stata corretta, quindi dovresti aggiornare il core di WordPress a 5.7.1+.

    2. WordPress 4.7-5.7

    Vulnerabilità : Esposizione di pagine protette da password autenticate
    Patchato nella versione : 5.7
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare il core di WordPress a 5.7.1+.

    Vulnerabilità del plugin WordPress

    1. Componenti aggiuntivi Livemesh per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 6.8
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 6.8+.

    2. HT Mega – Componenti aggiuntivi assoluti per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 1.5.7
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.7+.

    3. WooLentor – Componenti aggiuntivi WooCommerce Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 1.8.6
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.8.6+.

    4. BuddyPress

    Vulnerabilità : vulnerabilità multiple dell'API REST autenticata
    Patchato nella versione : 7.3.0
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 7.3.0+.

    5. Componenti aggiuntivi PowerPack per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 2.3.2
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.3.2+.

    6. Effetti immagine al passaggio del mouse – Componente aggiuntivo Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 1.3.4
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.4+.

    7. Estensioni e modelli Rife Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 1.1.6
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.1.6+.

    8. I componenti aggiuntivi Plus per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 2.0.6
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6+.

    9. Componenti aggiuntivi all-in-one per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 2.3.10
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.3.10.

    10. JetWidgets per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione :
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 6.8+.

    11. Estensione Sina per Elementor

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 3.3.12
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.3.12+.

    12. Ultimate Addons per Elementor

    Ultimate Addon Elementor Logo

    Vulnerabilità : Stored Cross-Site Scripting (XSS)
    Patchato nella versione : 1.30.0
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.30.0+.

    13. Calcolatrici fitness

    Vulnerabilità : falsificazione di richieste tra siti in script tra siti
    Patchato nella versione : 1.9.6
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.9.6+.

    14. Gestione dell'accesso ai diritti dell'utente

    Vulnerabilità : controlli di accesso impropri
    Patchato nella versione : 1.0.4
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0.4+.

    15. Addons intelligenti per Elementor

    Vulnerabilità : Scripting cross-site memorizzato XSS
    Patchato nella versione : 2.1.0
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.1.0+.

    16. Download digitali facili

    Facile download digitale logo

    Vulnerabilità : disconnessione da stripe non autorizzata tramite CSRF
    Patchato nella versione : 2.10.3
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.10.3+.

    17. Ponte Edwiser

    Vulnerabilità : CSRF Nonce Bypass
    Patchato nella versione : 2.0.7
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.7+.

    18. Gestore di download di WordPress

    Logo di WordPress Download Manager

    Vulnerabilità : duplicazione download non autorizzata
    Patchato nella versione : 3.1.18
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.1.18+.

    19. Mappe Ultimate di Supsystic

    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.2.5
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.2.5+.

    20. Popup di Supsystic

    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.10.5
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.10.5+.

    21. Galleria fotografica di 10Web

    Galleria fotografica di 10Web Logo

    Vulnerabilità : Scripting cross-site multiplo riflesso
    Patchato nella versione : 1.5.69
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.69+.

    22. Reindirizzamento per modulo di contatto 7

    Vulnerabilità : generazione di nonce arbitraria non autenticata
    Patchato nella versione : 2.3.4
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Vulnerabilità : installazione di plug-in arbitrari autenticati
    Patchato nella versione : 2.3.4
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Vulnerabilità : iniezione di oggetti PHP autenticati
    Patchato nella versione : 2.3.4
    Gravità : Alta – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Vulnerabilità : cancellazione di messaggi arbitrari autenticati
    Patchato nella versione : 2.3.4
    Gravità : Media – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

    Vulnerabilità : azioni AJAX non protette
    Patchato nella versione : 2.3.4
    Gravità : Media – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    Le vulnerabilità sono state corrette, quindi dovresti aggiornare alla versione 2.3.4+.

    Vulnerabilità dei temi WordPress

    Nessuna nuova vulnerabilità del tema è stata rivelata questa settimana.

    Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Rapporto sulla vulnerabilità di WordPress