Raportul Vulnerabilității WordPress: aprilie 2021, partea 2

Noile vulnerabilități ale pluginului și temei WordPress au fost dezvăluite în a doua săptămână a lunii aprilie. Această postare acoperă vulnerabilitățile recente ale pluginului WordPress, temei și nucleului și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress.

Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Evaluările de severitate se bazează pe sistemul de notare a vulnerabilității comune.

Vulnerabilități de bază WordPress

Cea mai recentă versiune de WordPress este în prezent 5.7. Asigurați-vă că toate site-urile dvs. web rulează cea mai recentă versiune a nucleului WordPress.

Vulnerabilități ale pluginului WordPress

Această secțiune acoperă vulnerabilitățile din pluginurile WordPress cu instrucțiuni privind actualizarea sau eliminarea pluginului vulnerabil.

1. iThemes Security Free & Pro

Vulnerabilitate : Ascundeți Bypass-ul Backend
Patched în versiune (iThemes Security) : 7.9.1
Patched în versiunea (iThemes Security Pro) : 6.8.4
Severitate : mare - CVSS: 3.1AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: H / A: H /

Funcția Ascunde Backend din iThemes Security permite utilizatorilor să ascundă pagina de conectare schimbându-i numele și împiedicând accesul la wp-login.php și wp-admin. Un bug a fost descoperit în versiunile de mai jos 7.9.1 ale iThemes Security și sub 6.8.4 din iThemes Security Pro, care fac vizibilă pagina de conectare ascunsă, reducând eficiența caracteristicii.

Actualizați la versiunea 7.9.1 a iThemes Security și la 6.8.4 a iThemes Security Pro pentru a primi patch-ul de soluție de ocolire a bypassului ascuns.

Notă: ar trebui să știți că caracteristica de ascundere backend nu este completă, indiferent de cât de mult am încerca să o îmbunătățim. De fapt, eficiența ascunderii paginii de conectare a site-ului dvs. web din motive de securitate este mitul nostru de securitate WordPress # 1 . De ce? Adevărul este că nu puteți ascunde complet backend-ul site-ului dvs. web. Pagina de autentificare poate fi expusă de nucleul WordPress, pluginuri sau teme atunci când tipăriți linkuri către pagina de autentificare (cum ar fi Confirmări de solicitare de confidențialitate sau formulare de autentificare front-end).

Hide Backend nu trebuie utilizat ca un substitut pentru măsurile de securitate superioare ale site-ului web, cum ar fi aplicarea parolelor puternice și autentificarea cu doi factori.

2. Membru simplu

Vulnerabilitate : injecții SQL autentificate
Patched în versiunea : 4.0.4
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: H / I: H / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.0.4.

3. Clipboard WPBakery Page Builder

Vulnerabilitate : Abonat + Scripturi între site-uri stocate
Patched în versiunea : 4.5.6
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: L

Vulnerabilitate : Actualizare opțiuni de licență arbitrară neautorizată
Patched în versiunea : 4.5.8
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: N / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.5.8+

4. OpenID Connect Generic Client

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 3.8.2
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.8.2+.

5. Opriți spammerii

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 2021.9
Severitate : medie - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: R / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2021.9.

6. Imagini

Vulnerabilitate : Încărcare de fișiere arbitrare neautentificate în RCE
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

7. WorkScout Core Plugin

Vulnerabilitate : XSS și XFS stocate autentificate
Patched în versiunea : 1.3.4
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.4+.

8. Larsens Calender

Vulnerabilitate : Scripturi cross-site stocate
Corectat în versiune : Nicio remediere cunoscută
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

---

9. Tester de verificare a formularului de contact

Vulnerabilitate : Controlul accesului la scripturi între site-uri
Corectat în versiune : Nicio remediere cunoscută
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

10. Plugin pentru Business Directory

Vulnerabilitate : export de listare arbitrară
Patched în versiunea : 5.11.2
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: N / A: N

Vulnerabilitate : actualizare arbitrară a istoricului de plăți
Patched în versiunea : 5.11.2
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: N / I: L / A: N

Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 5.11.2
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 5.11.2+.

11. Banner de evenimente

Vulnerabilitate : Încărcare arbitrară de fișiere în RCE
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

12. Fripturi clasice

Vulnerabilitate : Încărcare de fișiere arbitrare autentificate în RCE
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

13. Importul editorului de colegiu

Vulnerabilitate : Încărcare arbitrară de fișiere în RCE
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

Vulnerabilități ale temei WordPress

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security Pro

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.