WordPress 취약점 보고서: 2021년 4월, 4부

게시 됨: 2021-04-28

취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. 이 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다. 각 취약점의 심각도는 낮음 , 보통 , 높음 또는 위험 입니다. 심각도 등급은 Common Vulnerability Scoring System을 기반으로 합니다.

4월 4부 보고서
    받은 편지함으로 전달되는 iThemes 보안 WordPress 취약점 보고서 받기
    보고서 등록

    WordPress 핵심 취약점

    WordPress 5.7.1은 2021년 4월 15일에 릴리스되었습니다. 이 보안 및 유지 관리 릴리스에는 2개의 보안 수정 사항과 함께 26개의 버그 수정 사항이 포함되어 있습니다. 이것은 WordPress 코어의 보안 릴리스 이므로 즉시 사이트를 업데이트하는 것이 좋습니다!

    WordPress 플러그인 취약점

    1. 아코디언

    취약점 : 인증된 반영된 교차 사이트 스크립팅
    버전 : 2.2.30 에서 패치됨
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    취약점이 패치되었으므로 버전 2.2.30 이상으로 업데이트해야 합니다.

    2. Yandex Turbo용 RSS

    취약점 : 인증된 저장된 교차 사이트 스크립팅
    버전 : 1.30 에서 패치됨
    심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    취약점이 패치되었으므로 버전 1.30 이상으로 업데이트해야 합니다.

    3. Kaswara 모던 VC 애드온

    취약점 : 인증되지 않은 임의 파일 업로드
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    4. WP 콘텐츠 복사 방지 및 오른쪽 클릭 금지

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전 : 3.4 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전 : 3.5.1 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    취약점이 패치되었으므로 버전 3.5.1 이상으로 업데이트해야 합니다.

    5. WooCommerce를 위한 조건부 마케팅 메일러

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전 : 1.6 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전 : 1.5.2 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    취약점이 패치되었으므로 버전 1.6 이상으로 업데이트해야 합니다.

    6. Captchinoo, 관리자 로그인 페이지용 Google 요약

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    7. WP 유지 보수 모드 및 건설 중인 사이트

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    8. 트리 사이트맵

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    9. 로그인 보호 – 로그인 시도 실패 횟수 제한

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    10. 방문자 트래픽 실시간 통계

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전 : 2.13 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전 : 2.12 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    취약점이 패치되었으므로 버전 2.13 이상으로 업데이트해야 합니다.

    11. 사용자 또는 고객으로 로그인

    취약점 : CSRF를 통한 임의 플러그인 설치/활성화
    버전 : 2.1 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    취약점 : 낮은 권한의 사용자를 통한 임의의 Plugin 설치/활성화
    버전 : 1.8 에서 패치됨
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    취약점이 패치되었으므로 버전 2.1 이상으로 업데이트해야 합니다.

    12. 404를 부모에게 리디렉션

    취약점 : 반영된 교차 사이트 스크립팅
    버전 : 1.3.1 에서 패치됨
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    취약점이 패치되었으므로 버전 1.3.1 이상으로 업데이트해야 합니다.

    13. 모든 카테고리 및 분류 선택

    취약점 : 반영된 교차 사이트 스크립팅
    버전 : 1.3.2 에서 패치됨
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    취약점이 패치되었으므로 버전 1.3.2 이상으로 업데이트해야 합니다.

    14. 소프트웨어 라이선스 관리자

    취약점 : CSRF에서 저장된 XSS로
    버전 : 4.4.6 에서 패치됨
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    취약점이 패치되었으므로 버전 4.4.6 이상으로 업데이트해야 합니다.

    15. 자동차 판매자 - 자동 분류 스크립트

    취약점 : 인증되지 않은 SQL 주입
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    16. 매장 찾기 플러스

    취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    17. Elementor Free 및 Pro용 해피 애드온

    취약점 : 저장된 교차 사이트 스크립팅
    무료 패치 버전 : 2.24.0
    버전 : 1.17.0 에서 패치된 Pro
    심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    취약점이 패치되었으므로 2.24.0+(무료) / 1.17.0+(Pro) 버전으로 업데이트해야 합니다.

    18. WP 가장 빠른 캐시

    WP 가장 빠른 캐시 로고

    취약점 : Path Traversal을 통한 인증된 임의 파일 삭제
    버전 : 0.9.1.7 에서 패치
    심각도 : 낮음 – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    취약점이 패치되었으므로 버전 0.9.1.7 이상으로 업데이트해야 합니다.

    19. WPGraphQL

    취약점 : 서비스 거부
    버전에서 패치됨 : 알려진 수정 사항 없음
    심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    이 취약점은 패치되지 않았습니다. 패치가 릴리스될 때까지 플러그인을 제거하고 삭제합니다.

    20. 우커머스

    취약점 : 인증된 저장된 교차 사이트 스크립팅
    버전 : 5.2.0 에서 패치됨
    심각도 : 중간 – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    취약점이 패치되었으므로 버전 5.2.0 이상으로 업데이트해야 합니다.

    WordPress 테마 취약점

    이번 주에는 새로운 테마 취약점이 공개되지 않았습니다.

    WordPress 보안 플러그인으로 웹사이트 보호

    WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

    iThemes 보안 프로 받기