Raportul Vulnerabilității WordPress: aprilie 2021, partea 4

Publicat: 2021-04-28

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Acest raport acoperă vulnerabilitățile recente ale pluginului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress. Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Evaluările de severitate se bazează pe sistemul de notare a vulnerabilității comune.

În raportul din aprilie, partea 4

Obțineți Raportul vulnerabilității WordPress de securitate iThemes livrat în căsuța de e-mail

Înscrieți-vă pentru raport

Vulnerabilități de bază WordPress

WordPress 5.7.1 a fost lansat pe 15 aprilie 2021. Această versiune de securitate și întreținere include 26 de remedieri de erori în plus față de două remedieri de securitate. Deoarece aceasta este o versiune de securitate a nucleului WordPress, este recomandat să vă actualizați site-urile imediat!

Vulnerabilități ale pluginului WordPress

1. Acordeon

Vulnerabilitate : scripturi cross-site reflectate autentificate
Patched în versiunea : 2.2.30
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.2.30+.

2. RSS pentru Yandex Turbo

Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 1.30
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.30+.

3. Completele Kaswara Modern VC

Vulnerabilitate : încărcare de fișiere arbitrare neautentificată
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

4. Protecție la copierea conținutului WP și fără clic dreapta

Vulnerabilitate : instalare / activare plugin arbitrar prin CSRF
Patched în versiunea : 3.4
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilitate : instalare / activare plugin arbitrar prin utilizator cu privilegii reduse
Patched în versiunea : 3.5.1
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.5.1+.

5. Mailer condiționat de marketing pentru WooCommerce

Vulnerabilitate : instalare / activare plugin arbitrar prin CSRF
Patched în versiunea : 1.6
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilitate : instalare / activare plugin arbitrar prin utilizator cu privilegii reduse
Patched în versiunea : 1.5.2
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.6+.

6. Captchinoo, Google recaptcha pentru pagina de autentificare a administratorului

Vulnerabilitate : instalare / activare plugin arbitrar prin CSRF
Corectat în versiune : Nicio remediere cunoscută
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilitate : instalare / activare plugin arbitrar prin utilizator cu privilegii reduse
Corectat în versiune : Nicio remediere cunoscută
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

7. Mod de întreținere WP și site în construcție

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

8. Harta site-ului copacului

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

9. Protecție autentificare - Limită încercări de conectare nereușite

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

10. Statistica traficului vizitatorilor în timp real

Vulnerabilitate : instalare / activare plugin arbitrar prin CSRF
Patched în versiunea : 2.13
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilitate : instalare / activare plugin arbitrar prin utilizator cu privilegii reduse
Patched în versiunea : 2.12
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.13+.

11. Conectați-vă ca utilizator sau client

Vulnerabilitate : instalare / activare plugin arbitrar prin CSRF
Patched în versiunea : 2.1
Severitate : Critică - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

Vulnerabilitate : instalare / activare plugin arbitrar prin utilizator cu privilegii reduse
Patched în versiunea : 1.8
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.1+.

12. Redirecționați 404 către părinte

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.3.1
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.1+.

13. Selectați Toate categoriile și taxonomiile

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.3.2
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.2+.

14. Manager licență software

Vulnerabilitate : CSRF la XSS stocat
Patched în versiunea : 4.4.6
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.4.6+.

15. Vânzător auto - Script de anunțuri auto

Vulnerabilitate : injecție SQL neautentificată
Corectat în versiune : Nicio remediere cunoscută
Severitate : critic - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

16. Store Locator Plus

Vulnerabilitate : Scripturi cross-site stocate neautentificate
Corectat în versiune : Nicio remediere cunoscută
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

17. Happy Addons pentru Elementor Free & Pro

Vulnerabilitate : Scripturi cross-site stocate
Patched gratuit în versiunea : 2.24.0
Pro Patched în versiunea : 1.17.0
Severitate : medie - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.24.0+ (Gratuită) / 1.17.0+ (Pro).

18. Cea mai rapidă cache WP

Vulnerabilitate : Ștergerea fișierelor arbitrare autentificate prin traversarea căii
Patched în versiunea : 0.9.1.7
Severitate : Scăzută - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 0.9.1.7+.

19. WPGraphQL

Vulnerabilitate : negarea serviciului
Corectat în versiune : Nicio remediere cunoscută
Severitate : mare - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

20. WooCommerce

Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 5.2.0
Severitate : medie - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 5.2.0+.

Vulnerabilități ale temei WordPress

În această săptămână nu au fost dezvăluite vulnerabilități tematice noi.

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security Pro

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.