WordPressの脆弱性レポート:2021年3月、パート4

公開: 2021-03-30

新しいWordPressプラグインとテーマの脆弱性は、3月の最終週に公開されました。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性と、脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明します。

WordPressの脆弱性のまとめは、WordPressコア、WordPressプラグイン、WordPressテーマの3つのカテゴリに分類されます。

各脆弱性の重大度は、、または重大です。 重大度の評価は、Common Vulnerability ScoringSystemに基づいています。

3月、パート4レポート

    WordPressのコアの脆弱性

    今月、新しいWordPressコアの脆弱性は公開されていません。

    WordPressプラグインの脆弱性

    1. GiveWP

    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.10.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:L

    2.MapplicおよびMapplicLite

    脆弱性:保存されたクロスサイトスクリプティングに対するSSRF
    バージョンのパッチ:Mapplic Lite1.0.1およびMapplic6.2.1
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:L / A:L

    3. MapifyLife

    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました既知の修正はありません
    重大度– CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:C / C:L / I:L / A:L

    4.ABページテストを成功させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:1.4.13.3
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    5.繁栄するコメント

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:1.4.15.3
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    6. Thrive Headline Optimizer

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:1.3.7.3
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    7.リードを繁栄させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.3.9.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    8.最後通牒を繁栄させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.3.9.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    9.繁栄するクイズビルダー

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.3.9.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    10.見習いを繁栄させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.3.9.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    11.ビジュアルエディタを繁栄させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.6.7.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    12.ダッシュボードを繁栄させる

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.3.9.3
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    13.繁栄するOvation

    脆弱性:認証されていないオプションの更新
    バージョンでパッチが適用されました:2.4.5
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:N / I:L / A:N

    14. JH404ロガー

    脆弱性:認証されていない保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました既知の修正はありません
    重大度クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:H / A:H

    15.ビジネスディレクトリ

    脆弱性:認証されていないリフレクトクロスサイトスクリプティング
    バージョンでパッチが適用されました既知の修正はありません
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:N

    16. Facebook for WordPress

    脆弱性:POPチェーンを使用したPHPオブジェクトの注入
    バージョンでパッチが適用されました:3.0.0
    重大度クリティカル– CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H

    脆弱性:保存されたXSSへのCSRFと設定の削除
    バージョンでパッチが適用されました:3.0.4
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H

    17.垂直ニューススクローラー

    脆弱性:認証されたリフレクトクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.17
    重大度クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:C / C:H / I:H / A:H

    18.クイズと調査マスター

    脆弱性:ショートコードによる認証済みSQLインジェクション
    バージョンでパッチが適用されました:7.1.12
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H

    脆弱性:RestAPIを介した認証済みSQLインジェクション
    バージョンでパッチが適用されました:7.1.14
    重大度– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H

    19. WP-Curricul Vitea Free

    脆弱性:RCEへの認証されていない任意のファイルのアップロード
    バージョンでパッチが適用されました既知の修正はありません
    重大度クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H

    20.N5アップロードフォーム

    脆弱性:RCEへの認証されていない任意のファイルのアップロード
    バージョンでパッチが適用されました既知の修正はありません
    重大度クリティカル– CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:C / C:H / I:H / A:H

    21. Easy Form Builder

    脆弱性:認証された任意のファイルのアップロード
    バージョンでパッチが適用されました既知の修正はありません
    重大度クリティカル– CVSS:3.1 / AV:N / AC:L / PR:L / UI:N / S:C / C:H / I:H / A:H

    22. Patreon WordPress

    脆弱性:認証されていないローカルファイルの開示
    バージョンでパッチが適用されました:1.7.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:N / A:N

    脆弱性:ユーザーメタを上書き/作成するCSRF
    バージョンでパッチが適用されました:1.7.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:N / A:H

    脆弱性:サイトをPatreonから切断するCSRF
    バージョンでパッチが適用されました:1.7.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:N / A:H

    脆弱性:サイトをPatreonから切断するCSRF
    バージョンでパッチが適用されました:1.7.0
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H

    脆弱性:ログインフォームに反映されたXSS
    バージョンでパッチが適用されました:1.7.2
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H

    脆弱性:patreon_save_attachment_patreon_levelAJAXアクションに反映されたXSS
    バージョンでパッチが適用されました:1.7.2
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H

    23. AccessAlly

    脆弱性:$ _ SERVERスーパーグローバルリーク
    バージョンでパッチが適用されました:3.5.7
    重大度– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:N / A:N

    WordPressテーマの脆弱性

    1.すべての繁栄するテーマレガシーテーマ

    影響を受けるテーマ: Rise、Luxe、Minus、Ignition、Focusblog、Squared、Voice、Performag、Pressive、およびStoried
    脆弱性:認証されていない任意のファイルのアップロードとオプションの削除
    バージョンでパッチが適用されました:2.0.0
    重大度クリティカル– CVSS:3.1 / AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H

    WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    iThemes SecurityProを入手する

    脆弱性のまとめ