Raport podatności WordPressa: kwiecień 2021, część 3

Opublikowany: 2021-04-22

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten post dotyczy najnowszych wtyczek WordPress, motywów i podstawowych luk w zabezpieczeniach oraz tego, co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress. Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Oceny dotkliwości są oparte na systemie punktacji Common Vulnerability Scoring System.

W kwietniowym raporcie, część 3

    Główne luki w WordPressie

    WordPress 5.7.1 został wydany 15 kwietnia 2021 r. Ta wersja zabezpieczeń i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację swoich witryn!

    1. WordPress 5,6 – 5,7

    Luka w zabezpieczeniach : uwierzytelniony XXE w bibliotece mediów mający wpływ na PHP 8
    Poprawione w wersji : 5.7
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Luka została załatana, więc powinieneś zaktualizować WordPress core do 5.7.1+.

    2. WordPress 4,7-5,7

    Luka w zabezpieczeniach : ujawnienie uwierzytelnionych stron chronionych hasłem
    Poprawione w wersji : 5.7
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Luka została załatana, więc powinieneś zaktualizować WordPress core do 5.7.1+.

    Luki w zabezpieczeniach wtyczki WordPress

    1. Dodatki Livemesh dla Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Poprawione w wersji : 6.8
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.8+.

    2. HT Mega – absolutne dodatki do Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 1.5.7
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.5.7+.

    3. WooLentor – dodatki do WooCommerce Elementor

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 1.8.6
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.8.6+.

    4. BuddyPress

    Luka w zabezpieczeniach : wiele luk w uwierzytelnionym interfejsie REST API
    Łatka w wersji : 7.3.0
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.3.0+.

    5. Dodatki PowerPack dla Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 2.3.2
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.3.2+.

    6. Efekty najechania obrazu – dodatek do Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Poprawione w wersji : 1.3.4
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.4+.

    7. Rozszerzenia i szablony Rife Elementor

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 1.1.6
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.6+.

    8. Dodatki Plus do Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 2.0.6
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.6+.

    9. Dodatki All-in-One dla Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 2.3.10
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.3.10.

    10. JetWidgets dla Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Poprawione w wersji :
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.8+.

    11. Rozszerzenie Sina dla Elementora

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Łatka w wersji : 3.3.12
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.3.12+.

    12. Ostateczne dodatki do Elementora

    Ultimate Addon Elementor Logo

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
    Poprawione w wersji : 1.30.0
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.30.0+.

    13. Kalkulatory fitness

    Luka w zabezpieczeniach : fałszowanie żądań między witrynami w celu wykonywania skryptów między witrynami
    Łatka w wersji : 1.9.6
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.6+.

    14. Menedżer dostępu do praw użytkownika

    Luka w zabezpieczeniach : niewłaściwa kontrola dostępu
    Poprawione w wersji : 1.0.4
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.4+.

    15. Sprytne dodatki do Elementora

    Luka w zabezpieczeniach : przechowywane XSS skrypty między witrynami
    Łatka w wersji : 2.1.0
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.0+.

    16. Łatwe pobieranie cyfrowe

    Logo Easy Digital Downloads

    Luka w zabezpieczeniach : nieautoryzowane rozłączenie paska przez CSRF
    Łatka w wersji : 2.10.3
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.10.3+.

    17. Most Edwisera

    Podatność : CSRF Nonce Bypass
    Łatka w wersji : 2.0.7
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.7+.

    18. Menedżer pobierania WordPress

    Logo menedżera pobierania WordPress

    Luka w zabezpieczeniach : nieautoryzowane powielanie pobierania
    Łatka w wersji : 3.1.18
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.1.18+.

    19. Ultimate Maps autorstwa Supsystic

    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Poprawione w wersji : 1.2.5
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.5+.

    20. Popup autorstwa Supsystic

    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Łatka w wersji : 1.10.5
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.10.5+.

    21. Galeria zdjęć autorstwa 10Web

    Galeria zdjęć autorstwa 10Web Logo

    Luka w zabezpieczeniach : wielokrotne odbijane skrypty między witrynami
    Poprawione w wersji : 1.5.69
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.5.69+.

    22. Przekierowanie do formularza kontaktowego 7

    Luka w zabezpieczeniach : nieuwierzytelnione arbitralne generowanie nonce
    Łatka w wersji : 2.3.4
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Luka w zabezpieczeniach : instalacja uwierzytelnionej arbitralnej wtyczki
    Łatka w wersji : 2.3.4
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcie obiektu PHP
    Łatka w wersji : 2.3.4
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Luka w zabezpieczeniach : Uwierzytelnione arbitralne usunięcie postu
    Łatka w wersji : 2.3.4
    Ważność : Średnia – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

    Luka w zabezpieczeniach : niezabezpieczone akcje AJAX
    Łatka w wersji : 2.3.4
    Istotność : Średnia – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    Luki zostały załatane, dlatego należy zaktualizować je do wersji 2.3.4+.

    Luki w motywie WordPress

    W tym tygodniu nie ujawniono żadnych nowych luk w motywach.

    Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

    Raport podatności WordPress