Rapporto sulla vulnerabilità di WordPress: marzo 2021, parte 4
Pubblicato: 2021-03-30I nuovi plugin di WordPress e le vulnerabilità dei temi sono stati divulgati durante l'ultima settimana di marzo. Questo post copre il recente plug-in, il tema e le vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.
Il riepilogo delle vulnerabilità di WordPress è diviso in tre diverse categorie: core di WordPress, plugin di WordPress e temi di WordPress.
Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . Le valutazioni di gravità si basano sul sistema di punteggio di vulnerabilità comune.
Vulnerabilità principali di WordPress
Vulnerabilità del plugin WordPress
1. Dai WP
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 2.10.0
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. Mapplic e Mapplic Lite
Vulnerabilità : da SSRF a script tra siti archiviati
Patchato nella versione : Mapplic Lite 1.0.1 e Mapplic 6.2.1
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
3. MapifyLife
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : nessuna correzione nota
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
4. Prosperare il test della pagina AB
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 1.4.13.3
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
5. Commenti positivi
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 1.4.15.3
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
6. Ottimizzatore di titoli di successo
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 1.3.7.3
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
7. Prosperare lead
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.3.9.4
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
8. Prospera ultimatum
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.3.9.4
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
9. Crea quiz con successo
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.3.9.4
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
10. Apprendista prospero
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.3.9.4
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
11. Migliorare l'editor visivo
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.6.7.4
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
12. Cruscotto di prosperità
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.3.9.3
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
13. Prosperare l'ovazione
Vulnerabilità : aggiornamento dell'opzione non autenticata
Patchato nella versione : 2.4.5
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
14. Registratore JH 404
Vulnerabilità : Scripting cross-site archiviato non autenticato
Patchato nella versione : nessuna correzione nota
Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
15. Elenco delle attività commerciali
Vulnerabilità : Scripting cross-site riflesso non autenticato
Patchato nella versione : nessuna correzione nota
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
16. Facebook per WordPress
Vulnerabilità : iniezione di oggetti PHP con catena POP
Patchato nella versione : 3.0.0
Gravità : Critico – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Vulnerabilità : da CSRF a XSS archiviato e cancellazione delle impostazioni
Patchato nella versione : 3.0.4
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
17. Scroller verticale di notizie
Vulnerabilità : Scripting Cross-Site riflesso autenticato
Patchato nella versione : 1.17
Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
18. Maestro di quiz e sondaggi
Vulnerabilità : SQL injection autenticata tramite shortcode
Patchato nella versione : 7.1.12
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Vulnerabilità : SQL injection autenticata tramite Rest API
Patchato nella versione : 7.1.14
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
19. WP-Curricul Vitea gratuito
Vulnerabilità : caricamento di file arbitrario non autenticato su RCE
Patchato nella versione : nessuna correzione nota
Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
20. Modulo di caricamento N5
Vulnerabilità : caricamento di file arbitrario non autenticato su RCE
Patchato nella versione : nessuna correzione nota
Gravità : Critico – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
21. Facile generatore di moduli
Vulnerabilità : caricamento file arbitrario autenticato
Patchato nella versione : nessuna correzione nota
Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
22. Patreon WordPress
Vulnerabilità : divulgazione di file locali non autenticati
Patchato nella versione : 1.7.0
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Vulnerabilità : CSRF per sovrascrivere/creare meta utente
Patchato nella versione : 1.7.0
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Vulnerabilità : CSRF per disconnettere i siti da Patreon
Patchato nella versione : 1.7.0
Gravità : Media – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Vulnerabilità : CSRF per disconnettere i siti da Patreon
Patchato nella versione : 1.7.0
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Vulnerabilità : XSS riflesso sul modulo di accesso
Patchato nella versione : 1.7.2
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Vulnerabilità : XSS riflesso su patreon_save_attachment_patreon_level azione AJAX
Patchato nella versione : 1.7.2
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
23. Accesso Alleato
Vulnerabilità : $_SERVER Superglobal Leakage
Patchato nella versione : 3.5.7
Gravità : Alta – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Vulnerabilità dei temi WordPress
1. Tutti i temi Thrive Temi legacy
Temi interessati: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive e Storyd
Vulnerabilità : caricamento arbitrario di file non autenticato e cancellazione di opzioni
Patchato nella versione : 2.0.0
Gravità : Critico – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.
Ottieni iThemes Security Pro
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
