Rapporto sulla vulnerabilità di WordPress: aprile 2021, parte 4

Pubblicato: 2021-04-28

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Questo rapporto copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Il riepilogo delle vulnerabilità di WordPress è diviso in tre diverse categorie: core di WordPress, plugin di WordPress e temi di WordPress. Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . Le valutazioni di gravità si basano sul sistema di punteggio di vulnerabilità comune.

Nel rapporto di aprile, parte 4
    Ricevi il rapporto sulla vulnerabilità di WordPress di iThemes Security consegnato nella tua casella di posta
    Iscriviti per il rapporto

    Vulnerabilità principali di WordPress

    WordPress 5.7.1 è stato rilasciato il 15 aprile 2021. Questa versione di sicurezza e manutenzione presenta 26 correzioni di bug oltre a due correzioni di sicurezza. Poiché questa è una versione di sicurezza del core di WordPress, ti consigliamo di aggiornare immediatamente i tuoi siti!

    Vulnerabilità del plugin WordPress

    1. Fisarmonica

    Vulnerabilità : Scripting Cross-Site riflesso autenticato
    Patchato nella versione : 2.2.30
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.2.30+.

    2. RSS per Yandex Turbo

    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 1.30
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.30+.

    3. Componenti aggiuntivi di Kaswara Modern VC

    Vulnerabilità : caricamento di file arbitrario non autenticato
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    4. Protezione dalla copia dei contenuti WP e nessun clic destro

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : 3.4
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : 3.5.1
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.5.1+.

    5. Mailer di marketing condizionale per WooCommerce

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : 1.6
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : 1.5.2
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.6+.

    6. Captchinoo, Google recaptcha per la pagina di accesso dell'amministratore

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    7. Modalità di manutenzione WP e sito in costruzione

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    8. Mappa del sito dell'albero

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    9. Protezione dell'accesso – Limita i tentativi di accesso non riusciti

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    10. Statistiche in tempo reale sul traffico dei visitatori

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : 2.13
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : 2.12
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.13+.

    11. Accedi come Utente o Cliente

    Vulnerabilità : installazione/attivazione di plug-in arbitrari tramite CSRF
    Patchato nella versione : 2.1
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Vulnerabilità : installazione/attivazione arbitraria del plug-in tramite utente con privilegi ridotti
    Patchato nella versione : 1.8
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.1+.

    12. Reindirizza 404 al genitore

    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.3.1
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.1+.

    13. Seleziona tutte le categorie e le tassonomie

    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.3.2
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.2+.

    14. Gestore delle licenze software

    Vulnerabilità : da CSRF a XSS memorizzato
    Patchato nella versione : 4.4.6
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.4.6+.

    15. Venditore di auto - Script di annunci automatici

    Vulnerabilità : SQL Injection non autenticato
    Patchato nella versione : nessuna correzione nota
    Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    16. Trova negozio Plus

    Vulnerabilità : Scripting cross-site archiviato non autenticato
    Patchato nella versione : nessuna correzione nota
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    17. Happy Addons per Elementor Free & Pro

    Vulnerabilità : Scripting tra siti archiviati
    Patch gratuita nella versione : 2.24.0
    Pro patchato nella versione : 1.17.0
    Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.24.0+ (gratuita) / 1.17.0+ (Pro).

    18. WP Cache più veloce

    Logo della cache più veloce di WP

    Vulnerabilità : cancellazione di file arbitrari autenticati tramite Path Traversal
    Patchato nella versione : 0.9.1.7
    Gravità : Bassa – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 0.9.1.7+.

    19. WPGraphQL

    Vulnerabilità : negazione del servizio
    Patchato nella versione : nessuna correzione nota
    Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    20. WooCommerce

    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 5.2.0
    Gravità : Media – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 5.2.0+.

    Vulnerabilità dei temi WordPress

    Nessuna nuova vulnerabilità del tema è stata rivelata questa settimana.

    Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Ottieni iThemes Security Pro