Raport podatności WordPressa: kwiecień 2021, część 4
Opublikowany: 2021-04-28Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten raport obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z luk w zabezpieczeniach wtyczek lub motywów w swojej witrynie.
Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress. Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Oceny dotkliwości są oparte na systemie punktacji Common Vulnerability Scoring System.
Główne luki w WordPressie
WordPress 5.7.1 został wydany 15 kwietnia 2021 roku. Ta wersja bezpieczeństwa i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację swoich witryn!
Luki w zabezpieczeniach wtyczki WordPress
1. Akordeon

Luka w zabezpieczeniach : uwierzytelnione odbijane skrypty między witrynami
Łatka w wersji : 2.2.30
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. RSS dla Yandex Turbo

Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawione w wersji : 1.30
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Dodatki Kaswara Modern VC
Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego pliku
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. Ochrona przed kopiowaniem treści WP i brak prawego kliknięcia

Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawione w wersji : 3.4
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawione w wersji : 3.5.1
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. Warunkowa poczta marketingowa dla WooCommerce

Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawione w wersji : 1.6
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Łatka w wersji : 1.5.2
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha dla strony logowania administratora
Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. Tryb konserwacji WP i strona w budowie
Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. Drzewo Mapa strony
Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. Ochrona logowania – ograniczenie nieudanych prób logowania
Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. Statystyki ruchu odwiedzających w czasie rzeczywistym

Luka : arbitralna instalacja/aktywacja wtyczki przez CSRF
Łatka w wersji : 2.13
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Łatka w wersji : 2.12
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. Zaloguj się jako Użytkownik lub Klient

Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez CSRF
Łatka w wersji : 2.1
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Luka w zabezpieczeniach : arbitralna instalacja/aktywacja wtyczki przez użytkownika o niskich uprawnieniach
Poprawione w wersji : 1.8
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. Przekieruj 404 do rodzica

Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawione w wersji : 1.3.1
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. Wybierz wszystkie kategorie i taksonomie
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.3.2
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Menedżer licencji oprogramowania

Podatność : CSRF do zapisanego XSS
Łatka w wersji : 4.4.6
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. Sprzedawca samochodów – skrypt ogłoszeń samochodowych
Luka : nieuwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Poziom ważności : Krytyczny – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. Lokalizator sklepów Plus
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Szczęśliwe dodatki do Elementora za darmo i Pro

Luka w zabezpieczeniach : przechowywane skrypty między witrynami
Bezpłatna łata w wersji : 2.24.0
Pro Łatka w wersji : 1.17.0
Ważność : Średnia – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. Najszybsza pamięć podręczna WP

Luka w zabezpieczeniach : Uwierzytelnione arbitralne usunięcie pliku za pomocą ścieżki przemierzania
Łatka w wersji : 0.9.1.7
Ważność : Niska – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
Luka w zabezpieczeniach : odmowa usługi
Poprawiona w wersji : brak znanej poprawki
Ważność : Wysoka – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. WooCommerce

Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Łatka w wersji : 5.2.0
Ważność : Średnia – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Luki w motywie WordPress
Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.
Uzyskaj iThemes Security Pro
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
