Raport podatności WordPressa: kwiecień 2021, część 4

Opublikowany: 2021-04-28

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten raport obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z luk w zabezpieczeniach wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress. Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Oceny dotkliwości są oparte na systemie punktacji Common Vulnerability Scoring System.

W kwietniowym raporcie, część 4
    Uzyskaj raport o lukach w zabezpieczeniach WordPress iThemes dostarczony do Twojej skrzynki odbiorczej
    Zapisz się do raportu

    Główne luki w WordPressie

    WordPress 5.7.1 został wydany 15 kwietnia 2021 roku. Ta wersja bezpieczeństwa i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację swoich witryn!

    Luki w zabezpieczeniach wtyczki WordPress

    1. Akordeon

    Luka w zabezpieczeniach : uwierzytelnione odbijane skrypty między witrynami
    Łatka w wersji : 2.2.30
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.2.30+.

    2. RSS dla Yandex Turbo

    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawione w wersji : 1.30
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.30+.

    3. Dodatki Kaswara Modern VC

    Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego pliku
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    4. Ochrona przed kopiowaniem treści WP i brak prawego kliknięcia

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawione w wersji : 3.4
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawione w wersji : 3.5.1
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.5.1+.

    5. Warunkowa poczta marketingowa dla WooCommerce

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawione w wersji : 1.6
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Łatka w wersji : 1.5.2
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6+.

    6. Captchinoo, Google recaptcha dla strony logowania administratora

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    7. Tryb konserwacji WP i strona w budowie

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    8. Drzewo Mapa strony

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    9. Ochrona logowania – ograniczenie nieudanych prób logowania

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    10. Statystyki ruchu odwiedzających w czasie rzeczywistym

    Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Łatka w wersji : 2.13
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Łatka w wersji : 2.12
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.13+.

    11. Zaloguj się jako Użytkownik lub Klient

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez CSRF
    Łatka w wersji : 2.1
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
    Poprawione w wersji : 1.8
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1+.

    12. Przekieruj 404 do rodzica

    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Poprawione w wersji : 1.3.1
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.1+.

    13. Wybierz wszystkie kategorie i taksonomie

    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Łatka w wersji : 1.3.2
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.2+.

    14. Menedżer licencji oprogramowania

    Podatność : CSRF do zapisanego XSS
    Łatka w wersji : 4.4.6
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.4.6+.

    15. Sprzedawca samochodów – skrypt ogłoszeń samochodowych

    Luka : nieuwierzytelniony wstrzyknięcie SQL
    Poprawiona w wersji : brak znanej poprawki
    Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    16. Lokalizator sklepów Plus

    Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    17. Szczęśliwe dodatki do Elementora za darmo i Pro

    Luka w zabezpieczeniach : przechowywane skrypty między witrynami
    Bezpłatna łata w wersji : 2.24.0
    Pro Łatka w wersji : 1.17.0
    Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.24.0+ (bezpłatny) / 1.17.0+ (Pro).

    18. Najszybsza pamięć podręczna WP

    Logo WP najszybszej pamięci podręcznej

    Luka w zabezpieczeniach : Uwierzytelnione arbitralne usunięcie pliku za pomocą ścieżki przemierzania
    Łatka w wersji : 0.9.1.7
    Ważność : Niska – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.9.1.7+.

    19. WPGraphQL

    Luka w zabezpieczeniach : odmowa usługi
    Poprawiona w wersji : brak znanej poprawki
    Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    20. WooCommerce

    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Łatka w wersji : 5.2.0
    Ważność : Średnia – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.2.0+.

    Luki w motywie WordPress

    W tym tygodniu nie ujawniono żadnych nowych luk w motywach.

    Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

    Uzyskaj iThemes Security Pro