WordPressの脆弱性レポート:2021年4月、パート3

公開: 2021-04-22

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。 各脆弱性の重大度は、、または重大です。 重大度の評価は、Common Vulnerability ScoringSystemに基づいています。

4月、パート3レポート

    WordPressのコアの脆弱性

    WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。 これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。

    1. WordPress 5.6 – 5.7

    脆弱性:PHP8に影響を与えるメディアライブラリ内の認証済みXXE
    バージョンでパッチが適用されました:5.7
    重大度– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H

    この脆弱性にはパッチが適用されているため、WordPressコアを5.7.1以降に更新する必要があります。

    2. WordPress 4.7-5.7

    脆弱性:認証されたパスワードで保護されたページの公開
    バージョンでパッチが適用されました:5.7
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:N / A:N

    この脆弱性にはパッチが適用されているため、WordPressコアを5.7.1以降に更新する必要があります。

    WordPressプラグインの脆弱性

    1.Elementor用のLivemeshアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:6.8
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン6.8以降に更新する必要があります。

    2. HT Mega –Elementorの絶対アドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.5.7
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン1.5.7以降に更新する必要があります。

    3. WooLentor – WooCommerceElementorアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.8.6
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン1.8.6以降に更新する必要があります。

    4. BuddyPress

    脆弱性:複数の認証されたRESTAPIの脆弱性
    バージョンでパッチが適用されました:7.3.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン7.3.0以降に更新する必要があります。

    5.Elementor用のPowerPackアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:2.3.2
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン2.3.2+に更新する必要があります。

    6.画像ホバー効果–Elementorアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.3.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン1.3.4以降に更新する必要があります。

    7. RifeElementor拡張機能とテンプレート

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.1.6
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン1.1.6以降に更新する必要があります。

    8.ElementorのPlusアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:2.0.6
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン2.0.6以降に更新する必要があります。

    9.Elementor用のオールインワンアドオン

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:2.3.10
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン2.3.10に更新する必要があります。

    10.ElementorのJetWidgets

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されます:
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン6.8以降に更新する必要があります。

    11.ElementorのSina拡張機能

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:3.3.12
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン3.3.12+に更新する必要があります。

    12.Elementorの究極のアドオン

    Ultimate AddonElementorロゴ

    脆弱性:保存されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:1.30.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン1.30.0以降に更新する必要があります。

    13.フィットネス計算機

    脆弱性:クロスサイトスクリプティングへのクロスサイトリクエストフォージェリ
    バージョンでパッチが適用されました:1.9.6
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン1.9.6以降に更新する必要があります。

    14.ユーザー権利アクセスマネージャー

    脆弱性:不適切なアクセス制御
    バージョンでパッチが適用されました:1.0.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:C / C:L / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン1.0.4以降に更新する必要があります。

    15.Elementor用の賢いアドオン

    脆弱性:保存されたクロスサイトスクリプティングXSS
    バージョンでパッチが適用されました:2.1.0
    重大度:中– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン2.1.0以降に更新する必要があります。

    16.簡単なデジタルダウンロード

    Easy DigitalDownloadsロゴ

    脆弱性:CSRFを介した不正なストライプ切断
    バージョンでパッチが適用されました:2.10.3
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン2.10.3以降に更新する必要があります。

    17.エドワイザー橋

    脆弱性:CSRFノンスバイパス
    バージョンでパッチが適用されました:2.0.7
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン2.0.7以降に更新する必要があります。

    18.WordPressダウンロードマネージャー

    WordPressダウンロードマネージャーのロゴ

    脆弱性:不正なダウンロードの複製
    バージョンでパッチが適用されました:3.1.18
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:L / A:N

    この脆弱性にはパッチが適用されているため、バージョン3.1.18以降に更新する必要があります。

    19.SupsysticによるUltimateMaps

    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.2.5
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン1.2.5以降に更新する必要があります。

    20.Supsysticによるポップアップ

    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.10.5
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン1.10.5以降に更新する必要があります。

    21.10Webによるフォトギャラリー

    10Webロゴによるフォトギャラリー

    脆弱性:複数の反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.5.69
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L

    この脆弱性にはパッチが適用されているため、バージョン1.5.69以降に更新する必要があります。

    22.お問い合わせフォーム7のリダイレクト

    脆弱性:認証されていない任意のノンス生成
    バージョンでパッチが適用されました:2.3.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N

    脆弱性:認証された任意のプラグインのインストール
    バージョンでパッチが適用されました:2.3.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:L / A:N

    脆弱性:認証されたPHPオブジェクトの注入
    バージョンでパッチが適用されました:2.3.4
    重大度– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H

    脆弱性:認証された任意の削除後
    バージョンでパッチが適用されました:2.3.4
    重大度– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:N / I:L / A:L

    脆弱性:保護されていないAJAXアクション
    バージョンでパッチが適用されました:2.3.4
    重大度– CVSS:3.1 / AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:L / A:L

    脆弱性にはパッチが適用されているため、バージョン2.3.4以降に更新する必要があります。

    WordPressテーマの脆弱性

    今週、新しいテーマの脆弱性は公開されていません。

    WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    WordPressの脆弱性レポート