WordPressの脆弱性ニュース、2021年11月

公開: 2020-11-06

11月のWordPress脆弱性ニュース
WordPressの脆弱性とは、WordPressの弱点を意味します。 この11月のWordPress脆弱性ニュースでは、2020年10月と2020年11月に発見されたWordPress脆弱性プラグインとWordPressセキュリティ問題に焦点を当てます。

セキュリティの最も重要で重要な部分は、WordPressなどのCMSのセキュリティの脆弱性を常に最新の状態に保つことです。

これが、影響を受けやすいプラグインと最新の明らかになった弱点を分析して、WordPressの保護されていないプラグインやアップデートを使用しないことでWebサイトがスムーズに実行されるようにする理由です。

WebARX Webアプリケーションファイアウォールを使用している場合、Webサイトはすべてのセキュリティ問題と脆弱性から安全になります。 ただし、Webサイトを安全にするための最善の代替方法は、Webサイト上の保護されていないプラグインを削除または更新することです。

WordPressの脆弱性ニュース、2020年10月

WordPress + Microsoft Office 365

WordPress + Microsoft Office 365

WordPress Webサイトにアクセスするには、ユーザーはWPO365 | LOGINを使用して学校または企業のアカウントでサインインできます。 パスワードとユーザー名は必要ありません。 さらに、WebサイトからSMTPを使用するのではなく、MicrosoftGraphを使用して電子メールを送信できるようになります。

脆弱性: JWT署名検証バイパス
バージョンで解決: 11.7
影響を受けたウェブサイトの総数: 1000以上

このプラグインは、JWTシグネチャを検証せず、承認チェックを許可し、認証をバイパスし、攻撃者がトークンを形成できるようにします。

10Webによるスライダー

10Webによるスライダー

Slider by 10Webは、テーマヘッダー、Webサイトの投稿やページ、またはその他の場所に、レスポンシブで高速な読み込み、SEO対応のスライダーを追加するための代替方法です。

このプラグインはビデオや画像と互換性があり、両方のコンテンツをスライドに追加できます。 さまざまなトランジション効果を非常に簡単に追加できます。

脆弱性:複数の認証されたSQLインジェクション
バージョンで解決: 1.2.36
影響を受けたWebサイトの総数: 50000以上

このプラグインの2つの脆弱な機能は、save_slider_dbとbulk_action、export_fullです。 これらの2つの機能により、許可されたユーザー、管理者、または寄稿者のようなメディア+ 'ロールオプション'は、他のユーザーがSQLインジェクションと呼ばれる攻撃を実行するようにオンになっていると想定します。

PoCの宣言日は2020年10月13日で、ユーザーに随時更新を提供します。

WPコース

WPコースLMS

WPコースはWordPressの無料プラグインであり、LMSを使用して、ドラッグアンドドロップツール、直感的なインターフェイス、ビデオチュートリアルなどを使用して、Webサイトでコースを管理および作成できます。 このプラグインには900以上のアクティブなインストールがあります。

このプラグインはシームレスに機能するため、他のテンプレートと一緒に追加できます。 それはまたあなたがあなたのビジョンとあなたのウェブサイトのデザインを一致させるのを助ける非常に多くのオプションが付属しています。 このプラグインは、コーディングや技術的な知識を必要としないため、簡単にナビゲートできます。

脆弱性:アクセス制御が壊れているため、コースのコンテンツが開示される可能性があります
バージョンで解決: 2.0.29
影響を受けたWebサイトの総数: 20,000以上

WordPress REST APIにより、WPコースの問題により、すべてのコースが利用できるようになる可能性があります。

シンプル:プレス

シンプルプレス

WordPress Webサイトにとって、Simple:Pressはフォーラムソフトウェアです。 いくつかの追加機能を使用すると、フォーラムを簡単に開始できます。 セキュリティモデルとWordPressユーザーモデルに統合されており、最大数千人のユーザーに対応できます。

他のフォーラムプラグインにも関わらず、このプラグインの機能は組織によって作成およびサポートされています。 このオプションは、削除またはアンインストール、WordPressのログインと登録との統合、メンバーサブスクリプションプラグインとの統合などに使用できます。

脆弱性:アクセス制御が壊れているためにRCEにつながる
バージョンで解決: 6.6.1
影響を受けるWebサイトの総数: 600以上

Simple:Pressプラグインの壊れたアクセス制御の問題が修正され、6.6.0バージョン以下に影響していました。

XClonerプラグイン

XClonerプラグイン

このプラグインは、WordPressWebサイトの復元とバックアップに役立ちます。

脆弱性:クロスサイトリクエストフォージェリ
バージョンで解決: 4.2.13
影響を受けるWebサイトの総数: 30,000以上

ウェブサイトのバックアップは、Googleドライブ、SFTP、Amazon、Dropbox、Backblaze、およびその他の場所に送信できます。 自動または手動で、XClonerの組み込みであるスケジューラを使用してバックアップを作成できます。

XClonerは、WordPressコアの自動更新、テーマ、プラグイン、または言語ファイルの直前に、テーマ、コア、プラグイン、言語ファイルのバックアップを作成するなど、さまざまな安全機能をXClonerによって提供します。 安全なウェブサイトとプライバシーを求める人は、XClonerを選択する必要があります。

複数ファイルのアップロードのドラッグアンドドロップ–お問い合わせフォーム7

複数のファイルのアップロードをドラッグアンドドロップします

このプラグインは使いやすく、特にお問い合わせフォーム7用の簡単な拡張機能です。このプラグインを使用すると、ユーザーはドラッグアンドドロップ機能を使用してさまざまなファイルを追加できます。 Webフォームの一般的な参照ファイルを追加することもできます。

このプラグインの機能は、アップロードするファイルの数に制限され、すべてのフィールドのファイルサイズを制限し、モバイル対応、任意のブラウザーでサポート、多言語のサポート、クールなプログレスバー、ドラッグアンドドロップ機能、ファイルサイズの検証、ファイルタイプの検証、等々。

脆弱性:未確認のリモートコード実行
バージョンで解決: 1.3.5.5
影響を受けるWebサイトの総数: 20,000以上

このツールは、アップロードを許可しない危険なファイル拡張子のブラックリストを利用します。 ただし、拡張子.phptおよび.pharは、任意のPHPコードを追加するために使用できないブラックリストに含まれていませんでした。

CSRF攻撃に対する脆弱性を備えた25以上のWordPressプラグインが発見されました。

  • 有料会員プロ
  • クーポンクリエーター
  • ファンナービルダー
  • 分類法のラジオボタン
  • クールなタイムライン
  • 簡単な紹介文
  • どかん
  • FeedlyによるRSSアグリゲーター
  • WPホテル予約
  • WPプロジェクトマネージャーおよびその他多数。

関連記事:あなたの次のウェブサイトのために選択するプロジェクトのための最高のエラーのないWordPressテーマ

WordPressの脆弱性ニュース、2020年11月

GDPRCCPAコンプライアンスサポート

GDPRCCPAコンプライアンスサポート

これは、WordPressユーザー向けのNinjaGDPRコンプライアンスプラグインとしても知られています。

脆弱性: PHPオブジェクトへの非公式なインジェクション
バージョンで解決: 2.4
影響を受けたウェブサイトの総数: 1000以上

GDPR CCPAコンプライアンスサポートプラグインには、1000を超えるアクティブなインストールがあります。バージョン2.1以下に影響を与える、非公式のPHPオブジェクトインジェクションにつながる可能性のある安全でない逆シリアル化の脆弱性を解決しました。 2020年11月17日。PoCはすべての情報でユーザーを更新するために表示されます。

ウェルカートeコマース

ウェルカートeコマース

WelCartは無料で使用できます。 20,000以上のアクティブなインストールがあり、英語(US)、日本語、ベトナム語の3つの異なる言語で利用できます。 2020年10月9日、このプラグインに脆弱性が発見されました。

脆弱性: PHPオブジェクトへの非公式なインジェクション
バージョンで解決: 1.9.36
影響を受けたWebサイトの総数: 20,000以上

WordPressユーザーは、Welcartプラグインを使用して、別の顧客アカウント領域でショッピングWebサイトを構築できます。 WordPressで使用されているものと同じCookieは使用しません。 それはそれ自身を使用します。

これは、ユーザーセッションを追跡するのに役立ちます。 このプラグインを使用すると、サブスクリプションベースの製品、デジタル製品、および物理的な製品を含むあらゆるタイプの製品を販売できます。 アイテムの写真、商品、カテゴリの数に制限はありません。

AccessPressソーシャルアイコン

AccessPressソーシャルシェアプラグイン

さまざまなソーシャルアイコンを作成し、Webサイトから直接有効なソーシャルメディアアカウントへのリンクを追加できます。 40,000以上のアクティブなインストールがあり、WordPressバージョン4.5以降をサポートしています。

脆弱性:認証されたSQLインジェクション
バージョンで解決: 1.8.1
影響を受けたウェブサイトの総数: 40000以上

そのウィジェット属性はこのプラグインによって駆除されていません。たとえば、作成者がSQLインジェクションを実行するための投稿権限を持つアカウントを許可します。

非常に簡単に、技術者でない人もWebサイトのソーシャルプロファイルにリンクできます。 アイコンを自分で美しく作成してパーソナライズできます。 アイコンの選択に使用できる12のさまざまなデザインセットが用意されています。

このプラグインの主な機能は、簡単な統合、ツールのヒント、より多くのスタイル、リアルタイムのライブプレビュー、レスポンシブ、インタラクティブ、独自のレイアウトなどです。

WordPress

WordPressバージョン5.5.2は2020年10月29日にリリースされました。このバージョンは、反映されたXSSの脆弱性を含むWordPressバージョン5.5の影響を受ける問題を修正するために導入されました。 また、バージョン5.5で発見されたリグレッションのいくつかの問題を修正しました

脆弱性:反映されたXSS
バージョンで解決: 5.5.2
影響を受けたWebサイトの総数: N / A

すべてのWordPressユーザーアカウントとユーザーのWebサイトで、この問題は影響を受けやすくなっています。 攻撃者は、知らないユーザーをだまして、感染したリンクをクリックしたり、ブービートラップされたWebサイトにアクセスしたりする可能性があります。 この問題の被害のレベルは、ある種のソーシャルエンジニアリングが必要なため、中程度です。

SW AjaxWooCommerce検索

AjaxでWooCommerceを検索

SW Ajax WooCommerce Searchは、Ajax検索機能を備えたWooCommerce用のWordPressプラグインです。

脆弱性:非公式に反映されたXFSおよびXSS
バージョンで解決: 1.2.8
影響を受けたWebサイトの総数: N / A

結論:
11月のWordPressの脆弱性ニュース– WordPressのWebサイトの数は、毎日感染してハッキングされています。 いくつかの数字は、30,000を超えるWebサイトが数種類のマルウェアの影響を受けていることを示しています。

インターネット上で開かれている各Webサイトはすべての人が利用できるリソースであり、これがほとんどのWebサイトがターゲットにされている主な理由です。

あなたがあなたのビジネスをオンラインで生きるとすぐにそれが一般に利用可能になるという事実を知ることは重要です。 したがって、それは簡単に標的にされます。

脆弱なプラグインをWebサイトに追加しないようにするには、プラグインとWebサイトを最新の状態に保つことが重要です。 可能であれば、自動更新を有効にすることができます。

上記のプラグインを使用している場合は、新しいバージョンでプラグインを更新する時期が来ています。そうしないと、Webサイトに悪影響が及ぶ可能性があります。