WordPressの脆弱性のまとめ:2020年6月、パート1

公開: 2020-08-18

新しいWordPressプラグインとテーマの脆弱性は、6月の前半に公開されたため、お知らせします。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめは、次の3つのカテゴリに分類されます。

  1. WordPressコア
  2. WordPressプラグイン
  3. WordPressのテーマ

各脆弱性の脅威評価は、、または重大です。

WordPressのコアの脆弱性

1. WordPress 5.4.2へのアップデート–クリティカル

WordPressバージョン5.4.2が利用可能になりました。 これは重要なセキュリティとメンテナンスのリリースです。 以前のバージョンは、バージョン5.4.2で修正された複数のセキュリティバグの影響を受けます。 まだ5.4に更新していない場合は、セキュリティの問題を修正する5.3以前の更新バージョンもあります。

WordPress5.4.2をWordPress.orgからダウンロードするか、 WP管理ダッシュボード> [更新]にアクセスして、[今すぐ更新]をクリックします。 自動バックグラウンド更新をサポートするサイトがある場合、それらはすでに更新されているはずです。

脆弱性にパッチが適用されているため、WordPress5.4.2に更新する必要があります

WordPressプラグインの脆弱性

今月、これまでにいくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1.お問い合わせフォーム7の複数ファイルアップロードのドラッグアンドドロップ–クリティカル

1.3.3.3より前のContactForm 7バージョンの複数ファイルアップロードのドラッグアンドドロップには、認証されていないファイルアップロードバイパスの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.3.3.3に更新する必要があります。

2.ページビルダー:PageLayer –ドラッグアンドドロップのウェブサイトビルダー–

ページビルダー:PageLayer – 1.1.2より前のバージョンのドラッグアンドドロップWebサイトビルダーには、XSSにつながる保護されていないAJAXと、XSSの脆弱性につながるCSRFがあります。

この脆弱性にはパッチが適用されているため、バージョン1.1.2に更新する必要があります。

3. MapPressマップ–クリティカル

2.54.6より前のMapPressMapsバージョンには、AJAXCallsの不適切な機能チェックの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.54.6に更新する必要があります。

4.画像フォトギャラリー最終タイルグリッド–クリティカル

3.4.19より前のImagePhoto Gallery Final Tiles Gridバージョンには、Authenticated Stored Cross-SiteScriptingの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン3.4.19に更新する必要があります。

5. bbPress –クリティカル

2.6.5より前のbbPressバージョンには、新規ユーザー登録が有効になっている場合、認証されていない特権昇格の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.6.5に更新する必要があります。

6.マルチスケジューラ–

マルチスケジューラのすべてのバージョンには、CSRFの脆弱性による任意のレコードの削除があります。

セキュリティ修正がリリースされるまでプラグインを削除します。

7. JobSearch –

1.5.1より前のバージョンのJobSearchには、認証されていないリフレクトクロスサイトスクリプティングの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.5.1に更新する必要があります。

8. AdRotate –

5.8.4より前のAdRotateバージョンには、Authenticated SQLInjectionの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン5.8.4に更新する必要があります。

9. Elementor Page Builder –

2.9.10より前のElementorPage Builderバージョンには、Authenticated StoredXSSの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.9.10に更新する必要があります。

10. SportsPress –

2.7.2より前のSportsPressバージョンには、Authenticated Stored Cross-SiteScriptingの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.7.2に更新する必要があります。

WordPressテーマ

1. Careerfy –

3.9.0より前のCareerfyバージョンには、認証されていないリフレクトクロスサイトスクリプティングの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン3.9.0に更新する必要があります。

2.新聞–

10.3.4より前の新聞バージョンには、Authenticated Reflected Cross-SiteScriptingの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン10.3.4に更新する必要があります。

新しい! iThemes Security SiteScanでWordPressWebサイトを保護します。

Webサイトの侵害の60%が、パッチは利用可能であるが適用されていない脆弱性に関係していることをご存知ですか? これは、既知の脆弱性を持つソフトウェアをサイトにインストールすることで、ハッカーがサイトを乗っ取るために必要な青写真を提供することを意味します。

毎日、開示されているすべてのWordPressの脆弱性を追跡することがますます困難になっています。 そのリストを、サイトにインストールしたプラグインやテーマのバージョンと比較する必要があります…そして、常に更新していることを確認してください。

この問題を解決するために、本日、iThemes Security Proプラグインが、ハッキングおよび侵害されたWordPressサイトの最大の原因であるソフトウェアの脆弱性からサイトを保護するためのより良い方法を展開していることを発表しました。

iThemesを搭載した新しく改良されたWordPressSecurity Site Scanは、既知のWebサイトの脆弱性自動的にチェックし、パッチが利用可能な場合、iThemes SecurityProが自動的に修正を適用するようになりました。 ふぅ。 それは安心です。

サイトスキャンの脆弱性の詳細

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティの詳細については、10の重要なヒントをご覧ください。 今すぐ電子ブックをダウンロードする: WordPressセキュリティのガイド
ダウンロード中