Raport podatności WordPressa: kwiecień 2021, część 3
Opublikowany: 2021-04-22Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten post dotyczy najnowszych wtyczek WordPress, motywów i podstawowych luk w zabezpieczeniach oraz tego, co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress. Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Oceny dotkliwości są oparte na systemie punktacji Common Vulnerability Scoring System.
Główne luki w WordPressie
WordPress 5.7.1 został wydany 15 kwietnia 2021 r. Ta wersja zabezpieczeń i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację swoich witryn!
1. WordPress 5,6 – 5,7
Luka w zabezpieczeniach : uwierzytelniony XXE w bibliotece mediów mający wpływ na PHP 8
Poprawione w wersji : 5.7
Ważność : Wysoka – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
2. WordPress 4,7-5,7
Luka w zabezpieczeniach : ujawnienie uwierzytelnionych stron chronionych hasłem
Poprawione w wersji : 5.7
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Luki w zabezpieczeniach wtyczki WordPress
1. Dodatki Livemesh dla Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Poprawione w wersji : 6.8
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
2. HT Mega – absolutne dodatki do Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 1.5.7
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
3. WooLentor – dodatki do WooCommerce Elementor

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 1.8.6
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
4. BuddyPress

Luka w zabezpieczeniach : wiele luk w uwierzytelnionym interfejsie REST API
Łatka w wersji : 7.3.0
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
5. Dodatki PowerPack dla Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 2.3.2
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
6. Efekty najechania obrazu – dodatek do Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Poprawione w wersji : 1.3.4
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
7. Rozszerzenia i szablony Rife Elementor

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 1.1.6
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
8. Dodatki Plus do Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 2.0.6
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
9. Dodatki All-in-One dla Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 2.3.10
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
10. JetWidgets dla Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Poprawione w wersji :
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
11. Rozszerzenie Sina dla Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 3.3.12
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
12. Ostateczne dodatki do Elementora

Luka w zabezpieczeniach : przechowywane skrypty między witrynami (XSS)
Poprawione w wersji : 1.30.0
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

13. Kalkulatory fitness

Luka w zabezpieczeniach : fałszowanie żądań między witrynami w celu wykonywania skryptów między witrynami
Łatka w wersji : 1.9.6
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Menedżer dostępu do praw użytkownika

Luka w zabezpieczeniach : niewłaściwa kontrola dostępu
Poprawione w wersji : 1.0.4
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
15. Sprytne dodatki do Elementora

Luka w zabezpieczeniach : przechowywane XSS skrypty między witrynami
Łatka w wersji : 2.1.0
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
16. Łatwe pobieranie cyfrowe

Luka w zabezpieczeniach : nieautoryzowane rozłączenie paska przez CSRF
Łatka w wersji : 2.10.3
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
17. Most Edwisera

Podatność : CSRF Nonce Bypass
Łatka w wersji : 2.0.7
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
18. Menedżer pobierania WordPress

Luka w zabezpieczeniach : nieautoryzowane powielanie pobierania
Łatka w wersji : 3.1.18
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
19. Ultimate Maps autorstwa Supsystic

Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawione w wersji : 1.2.5
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
20. Popup autorstwa Supsystic

Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.10.5
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
21. Galeria zdjęć autorstwa 10Web

Luka w zabezpieczeniach : wielokrotne odbijane skrypty między witrynami
Poprawione w wersji : 1.5.69
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
22. Przekierowanie do formularza kontaktowego 7

Luka w zabezpieczeniach : nieuwierzytelnione arbitralne generowanie nonce
Łatka w wersji : 2.3.4
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Luka w zabezpieczeniach : instalacja uwierzytelnionej arbitralnej wtyczki
Łatka w wersji : 2.3.4
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcie obiektu PHP
Łatka w wersji : 2.3.4
Ważność : Wysoka – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Luka w zabezpieczeniach : Uwierzytelnione arbitralne usunięcie postu
Łatka w wersji : 2.3.4
Ważność : Średnia – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L
Luka w zabezpieczeniach : niezabezpieczone akcje AJAX
Łatka w wersji : 2.3.4
Istotność : Średnia – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
Luki w motywie WordPress
Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
