WordPress 취약점 보고서: 2021년 3월, 4부
게시 됨: 2021-03-303월 마지막 주에 새로운 WordPress 플러그인 및 테마 취약점이 공개되었습니다. 이 게시물은 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다.
각 취약점의 심각도는 낮음 , 보통 , 높음 또는 위험 입니다. 심각도 등급은 Common Vulnerability Scoring System을 기반으로 합니다.
WordPress 핵심 취약점
WordPress 플러그인 취약점
1. 기브WP
취약점 : 반영된 교차 사이트 스크립팅
버전 : 2.10.0 에서 패치 됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. 매플릭과 매플릭 라이트
취약점 : SSRF에 대한 저장된 교차 사이트 스크립팅
패치 버전 : Mapplic Lite 1.0.1 및 Mapplic 6.2.1
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
3. 맵파이라이프
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
4. AB 페이지 테스트 번창하기
취약점 : 인증되지 않은 옵션 업데이트
버전 : 1.4.13.3 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
5. 댓글을 달다
취약점 : 인증되지 않은 옵션 업데이트
버전 : 1.4.15.3 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
6. 헤드라인 최적화 프로그램을 번창하십시오
취약점 : 인증되지 않은 옵션 업데이트
버전 : 1.3.7.3 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
7. 리드 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.3.9.4 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
8. 최후 통첩 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.3.9.4 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
9. 퀴즈 빌더를 번창하십시오
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.3.9.4 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
10. 견습생 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.3.9.4 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
11. 비주얼 에디터 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.6.7.4 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
12. 대시보드 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.3.9.3 에서 패치 됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
13. 박수 번창
취약점 : 인증되지 않은 옵션 업데이트
버전 : 2.4.5 에서 패치됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
14. JH 404 로거
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
15. 비즈니스 디렉토리
취약점 : 인증되지 않은 반사된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
16. 워드프레스용 페이스북
취약점 : POP 체인을 사용한 PHP 개체 주입
버전 : 3.0.0 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
취약점 : 저장된 XSS에 대한 CSRF 및 설정 삭제
버전 : 3.0.4 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
17. 수직 뉴스 스크롤러
취약점 : 인증된 반영된 교차 사이트 스크립팅
버전 : 1.17 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
18. 퀴즈 및 설문 조사 마스터
취약점 : 단축 코드를 통한 인증된 SQL 주입
버전 : 7.1.12 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
취약점 : Rest API를 통한 인증된 SQL 인젝션
버전 : 7.1.14 에서 패치 됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
19. WP- 이력서 무료
취약점 : RCE에 인증되지 않은 임의 파일 업로드
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
20. N5 업로드 양식
취약점 : RCE에 인증되지 않은 임의 파일 업로드
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
21. 쉬운 양식 빌더
취약점 : 인증된 임의 파일 업로드
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
22. 패트리온 워드프레스
취약점 : 인증되지 않은 로컬 파일 공개
버전 : 1.7.0 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
취약점 : 사용자 메타 덮어쓰기/생성을 위한 CSRF
버전 : 1.7.0 에서 패치됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
취약점 : Patreon에서 사이트 연결을 끊는 CSRF
버전 : 1.7.0 에서 패치됨
심각도 : 중간 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
취약점 : Patreon에서 사이트 연결을 끊는 CSRF
버전 : 1.7.0 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
취약점 : 로그인 양식에 반영된 XSS
버전 : 1.7.2 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
취약점 : patreon_save_attachment_patreon_level AJAX 작업에 XSS 반영
버전 : 1.7.2 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
23. 액세스앨리
취약점 : $_SERVER 슈퍼글로벌 유출
버전 : 3.5.7 에서 패치됨
심각도 : 높음 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
WordPress 테마 취약점
1. 모든 번창 테마 레거시 테마
영향을 받는 테마: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive 및 스토리
취약점 : 인증되지 않은 임의 파일 업로드 및 옵션 삭제
버전 : 2.0.0 에서 패치됨
심각도 : 심각 – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
WordPress 보안 플러그인으로 웹사이트 보호
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.
iThemes 보안 프로 받기
Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.
