Raportul Vulnerabilității WordPress: aprilie 2021, partea 3

Publicat: 2021-04-22

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Această postare acoperă vulnerabilitățile recente ale pluginului WordPress, temei și nucleului și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress. Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Evaluările de severitate se bazează pe sistemul de notare a vulnerabilității comune.

În raportul din aprilie, partea 3

Vulnerabilități de bază WordPress

WordPress 5.7.1 este lansat pe 15 aprilie 2021. Această versiune de securitate și întreținere include 26 de remedieri de erori, în plus față de două remedieri de securitate. Deoarece aceasta este o versiune de securitate a nucleului WordPress, este recomandat să vă actualizați site-urile imediat!

1. WordPress 5.6 - 5.7

Vulnerabilitate : XXE autentificat în biblioteca media care afectează PHP 8
Patched în versiunea : 5.7
Severitate : mare - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

Vulnerabilitatea este reparată, deci ar trebui să actualizați nucleul WordPress la 5.7.1+.

2. WordPress 4.7-5.7

Vulnerabilitate : expunerea paginilor protejate prin parolă autentificată
Patched în versiunea : 5.7
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați nucleul WordPress la 5.7.1+.

Vulnerabilități ale pluginului WordPress

1. Livemesh Addons pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 6.8
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 6.8+.

2. HT Mega - Addonuri absolute pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 1.5.7
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.7+.

3. WooLentor - elemente complementare WooCommerce

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 1.8.6
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.8.6+.

4. BuddyPress

Vulnerabilitate : Vulnerabilități API REST autentificate multiple
Patched în versiunea : 7.3.0
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 7.3.0+.

5. PowerPack Addons pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 2.3.2
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.3.2+.

6. Efecte de trecere a imaginii - Elementor Addon

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 1.3.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.4+.

7. Extensii și șabloane Rife Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 1.1.6
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.1.6+.

8. Completele Plus pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 2.0.6
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6+.

9. Complete All-in-One pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 2.3.10
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.3.10.

10. JetWidgets pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea :
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 6.8+.

11. Extensie Sina pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 3.3.12
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.3.12+.

12. Completele finale pentru Elementor

Vulnerabilitate : Scripturi cross-site stocate (XSS)
Patched în versiunea : 1.30.0
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.30.0+.

13. Calculatoare de fitness

Vulnerabilitate : Solicitare între site-uri Falsificare către scripturi între site-uri
Patched în versiunea : 1.9.6
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.9.6+.

14. Manager de acces la drepturile utilizatorului

Vulnerabilitate : controale de acces necorespunzătoare
Patched în versiunea : 1.0.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.0.4+.

15. Addons inteligent pentru Elementor

Vulnerabilitate : Stocare Cross-Site Scripting XSS
Patched în versiunea : 2.1.0
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.1.0+.

16. Descărcări digitale ușoare

Vulnerabilitate : deconectare de bandă neautorizată prin CSRF
Patched în versiunea : 2.10.3
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.10.3+.

17. Podul Edwiser

Vulnerabilitate : CSRF Nonce Bypass
Patched în versiunea : 2.0.7
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.7+.

18. Manager de descărcare WordPress

Vulnerabilitate : Duplicarea neautorizată a descărcărilor
Patched în versiunea : 3.1.18
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.1.18+.

19. Ultimate Maps de Supsystic

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.2.5
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.2.5+.

20. Popup de Supsystic

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.10.5
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.10.5+.

21. Galerie foto de 10Web

Vulnerabilitate : Scripturi multiple reflectate pe site
Patched în versiunea : 1.5.69
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.69+.

22. Redirecționare pentru formularul de contact 7

Vulnerabilitate : generație arbitrară non-autentificată
Patched în versiunea : 2.3.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N

Vulnerabilitate : instalare autentificată a pluginului arbitrar
Patched în versiunea : 2.3.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

Vulnerabilitate : Injecție obiect PHP autentificat
Patched în versiunea : 2.3.4
Severitate : mare - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

Vulnerabilitate : ștergere arbitrară după autentificare
Patched în versiunea : 2.3.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L

Vulnerabilitate : acțiuni AJAX neprotejate
Patched în versiunea : 2.3.4
Severitate : medie - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L

Vulnerabilitățile sunt reparate, deci ar trebui să actualizați la versiunea 2.3.4+.

Vulnerabilități ale temei WordPress

În această săptămână nu au fost dezvăluite vulnerabilități tematice noi.

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.