WordPress 취약점 보고서: 2021년 4월, 4부
게시 됨: 2021-04-28취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. 이 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다. 각 취약점의 심각도는 낮음 , 보통 , 높음 또는 위험 입니다. 심각도 등급은 Common Vulnerability Scoring System을 기반으로 합니다.
WordPress 핵심 취약점
WordPress 5.7.1은 2021년 4월 15일에 릴리스되었습니다. 이 보안 및 유지 관리 릴리스에는 2개의 보안 수정 사항과 함께 26개의 버그 수정 사항이 포함되어 있습니다. 이것은 WordPress 코어의 보안 릴리스 이므로 즉시 사이트를 업데이트하는 것이 좋습니다!
WordPress 플러그인 취약점
1. 아코디언

취약점 : 인증된 반영된 교차 사이트 스크립팅
버전 : 2.2.30 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. Yandex Turbo용 RSS

취약점 : 인증된 저장된 교차 사이트 스크립팅
버전 : 1.30 에서 패치됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Kaswara 모던 VC 애드온
취약점 : 인증되지 않은 임의 파일 업로드
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. WP 콘텐츠 복사 방지 및 오른쪽 클릭 금지

취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전 : 3.4 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전 : 3.5.1 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. WooCommerce를 위한 조건부 마케팅 메일러

취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전 : 1.6 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전 : 1.5.2 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, 관리자 로그인 페이지용 Google 요약
취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. WP 유지 보수 모드 및 건설 중인 사이트
취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. 트리 사이트맵
취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. 로그인 보호 – 로그인 시도 실패 횟수 제한
취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. 방문자 트래픽 실시간 통계

취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전 : 2.13 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전 : 2.12 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. 사용자 또는 고객으로 로그인

취약점 : CSRF를 통한 임의 플러그인 설치/활성화
버전 : 2.1 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
버전 : 1.8 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. 404를 부모에게 리디렉션

취약점 : 반영된 교차 사이트 스크립팅
버전 : 1.3.1 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. 모든 카테고리 및 분류 선택
취약점 : 반영된 교차 사이트 스크립팅
버전 : 1.3.2 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. 소프트웨어 라이선스 관리자

취약점 : CSRF에서 저장된 XSS로
버전 : 4.4.6 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. 자동차 판매자 - 자동 분류 스크립트
취약점 : 인증되지 않은 SQL 주입
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. 매장 찾기 플러스
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Elementor Free 및 Pro용 해피 애드온

취약점 : 저장된 교차 사이트 스크립팅
무료 패치 버전 : 2.24.0
버전 : 1.17.0 에서 패치된 Pro
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP 가장 빠른 캐시

취약점 : Path Traversal을 통한 인증된 임의 파일 삭제
버전 : 0.9.1.7 에서 패치 됨
심각도 : 낮음 – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
취약점 : 서비스 거부
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. 우커머스

취약점 : 인증된 저장된 교차 사이트 스크립팅
버전 : 5.2.0 에서 패치됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
WordPress 테마 취약점
WordPress 보안 플러그인으로 웹사이트 보호
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.
iThemes 보안 프로 받기
Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.
