WordPressの脆弱性レポート：2021年4月、パート3

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。 各脆弱性の重大度は、低、中、高、または重大です。 重大度の評価は、Common Vulnerability ScoringSystemに基づいています。

WordPressのコアの脆弱性

WordPress 5.7.1は2021年4月15日にリリースされました。このセキュリティおよびメンテナンスリリースには、2つのセキュリティ修正に加えて26のバグ修正が含まれています。 これはWordPressコアのセキュリティリリースであるため、サイトをすぐに更新することをお勧めします。

WordPressプラグインの脆弱性

1.Elementor用のLivemeshアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：6.8
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン6.8以降に更新する必要があります。

2. HT Mega –Elementorの絶対アドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：1.5.7
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン1.5.7以降に更新する必要があります。

3. WooLentor – WooCommerceElementorアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：1.8.6
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン1.8.6以降に更新する必要があります。

4. BuddyPress

脆弱性：複数の認証されたRESTAPIの脆弱性
バージョンでパッチが適用されました：7.3.0
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：U / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン7.3.0以降に更新する必要があります。

5.Elementor用のPowerPackアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：2.3.2
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.3.2+に更新する必要があります。

6.画像ホバー効果–Elementorアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：1.3.4
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン1.3.4以降に更新する必要があります。

7. RifeElementor拡張機能とテンプレート

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：1.1.6
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン1.1.6以降に更新する必要があります。

8.ElementorのPlusアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：2.0.6
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.0.6以降に更新する必要があります。

9.Elementor用のオールインワンアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：2.3.10
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.3.10に更新する必要があります。

10.ElementorのJetWidgets

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されます：
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン6.8以降に更新する必要があります。

11.ElementorのSina拡張機能

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：3.3.12
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン3.3.12+に更新する必要があります。

12.Elementorの究極のアドオン

脆弱性：保存されたクロスサイトスクリプティング（XSS）
バージョンでパッチが適用されました：1.30.0
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン1.30.0以降に更新する必要があります。

13.フィットネス計算機

脆弱性：クロスサイトスクリプティングへのクロスサイトリクエストフォージェリ
バージョンでパッチが適用されました：1.9.6
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.9.6以降に更新する必要があります。

14.ユーザー権利アクセスマネージャー

脆弱性：不適切なアクセス制御
バージョンでパッチが適用されました：1.0.4
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：H / UI：N / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.0.4以降に更新する必要があります。

15.Elementor用の賢いアドオン

脆弱性：保存されたクロスサイトスクリプティングXSS
バージョンでパッチが適用されました：2.1.0
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：C / C：L / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.1.0以降に更新する必要があります。

16.簡単なデジタルダウンロード

脆弱性：CSRFを介した不正なストライプ切断
バージョンでパッチが適用されました：2.10.3
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：U / C：N / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン2.10.3以降に更新する必要があります。

17.エドワイザー橋

脆弱性：CSRFノンスバイパス
バージョンでパッチが適用されました：2.0.7
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：U / C：N / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン2.0.7以降に更新する必要があります。

18.WordPressダウンロードマネージャー

脆弱性：不正なダウンロードの複製
バージョンでパッチが適用されました：3.1.18
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：U / C：N / I：L / A：N

この脆弱性にはパッチが適用されているため、バージョン3.1.18以降に更新する必要があります。

19.SupsysticによるUltimateMaps

脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.2.5
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.2.5以降に更新する必要があります。

20.Supsysticによるポップアップ

脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.10.5
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.10.5以降に更新する必要があります。

21.10Webによるフォトギャラリー

脆弱性：複数の反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：1.5.69
重大度：高– CVSS：3.1 / AV：N / AC：L / PR：N / UI：R / S：C / C：L / I：L / A：L

この脆弱性にはパッチが適用されているため、バージョン1.5.69以降に更新する必要があります。

22.お問い合わせフォーム7のリダイレクト

脆弱性：認証されていない任意のノンス生成
バージョンでパッチが適用されました：2.3.4
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：N / UI：N / S：U / C：L / I：N / A：N

脆弱性：認証された任意のプラグインのインストール
バージョンでパッチが適用されました：2.3.4
重大度：中– CVSS：3.1 / AV：N / AC：L / PR：L / UI：N / S：U / C：L / I：L / A：N

脆弱性：認証されたPHPオブジェクトの注入
バージョンでパッチが適用されました：2.3.4
重大度：高– CVSS：3.1 / AV：N / AC：H / PR：L / UI：N / S：U / C：H / I：H / A：H

脆弱性：認証された任意の削除後
バージョンでパッチが適用されました：2.3.4
重大度：中– CVSS：3.1 / AV：N / AC：H / PR：L / UI：N / S：U / C：N / I：L / A：L

脆弱性：保護されていないAJAXアクション
バージョンでパッチが適用されました：2.3.4
重大度：中– CVSS：3.1 / AV：N / AC：H / PR：L / UI：N / S：U / C：L / I：L / A：L

脆弱性にはパッチが適用されているため、バージョン2.3.4以降に更新する必要があります。

WordPressテーマの脆弱性

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。