WordPress Vulnerability Report: iunie 2021, partea 2

Publicat: 2021-06-09

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress. Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.

În raportul iunie, partea 2

Înscrieți-vă la buletinul săptămânal de știri și actualizări de securitate WordPress

Abonează-te acum

Vulnerabilități de bază WordPress

Începând de astăzi, versiunea actuală a WordPress este 5.7.2. Asigurați-vă că vă asigurați că toate site-urile dvs. web sunt actualizate!

În această lună nu au fost dezvăluite vulnerabilități noi de bază WordPress.

Vulnerabilități ale pluginului WordPress

1. Completele Plus pentru Elementor

Plugin: Completele Plus pentru Elementor
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 4.1.12
Severitate : medie

Plugin: Completele Plus pentru Elementor
Vulnerabilitate : Redirecționare deschisă
Patched în versiunea : 4.1.10
Severitate : medie

Plugin: Completele Plus pentru Elementor
Vulnerabilitate : Resetare arbitrară Trimiterea e-mail Pwd
Patched în versiunea : 4.1.11
Severitate : mare

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.1.11+.

2. Diagrama Da / Nu

Plugin: Diagrama Da / Nu
Vulnerabilitate : injecție SQL orb autentificată
Patched în versiunea : 1.0.12
Scorul de severitate : ridicat

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.0.12+.

3. FooGallery

Plugin: FooGallery
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 2.0.35
Scorul de severitate : mediu

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.35+.

4. Calendar eveniment WD

Plugin: Calendar eveniment WD
Vulnerabilitate : Cross-Site Scripting
Patched în versiunea : 1.1.45
Scorul de severitate : mediu

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.1.45+.

5. MC4WP: Mailchimp pentru WordPress

Plugin: MC4WP: Mailchimp pentru WordPress
Vulnerabilitate : redirecționare arbitrară autentificată
Patched în versiunea : 4.8.5
Scorul de severitate : mediu

Plugin: MC4WP: Mailchimp pentru WordPress
Vulnerabilitate : acțiuni neautorizate prin CSRF
Patched în versiunea : 4.8.5
Scorul de severitate : mediu

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.8.5+.

6. Toate 404 Redirecționare către pagina principală

Plugin: Toate 404 Redirecționează la pagina principală
Vulnerabilitate : Scripturi cross-site stocate autentificate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

7. Fancy Product Designer

Plugin: Fancy Product Designer
Vulnerabilitate : încărcare de fișiere arbitrare neautentificată și RCE
Patched în versiunea : 4.6.9
Scorul de severitate : critic

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 4.6.9+.

8. GetPaid

Plugin: GetPaid
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 2.3.4
Scorul de severitate : ridicat

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.3.4+.

9. Maestru pentru chestionare și sondaje

Plugin: Quiz And Survey Master
Vulnerabilitate : Scripturi cross-site stocate neautentificate
Patched în versiunea : 7.1.19
Scorul de severitate : ridicat

Plugin: Quiz And Survey Master
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 7.1.18
Scorul de severitate : ridicat

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 7.1.18+.

10. Jetpack

Plugin: Jetpack
Vulnerabilitate : Scurgere de comentarii de pagină / postare atașată nepublicată
Patched în versiunea : 9.8
Scorul de severitate : mediu

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 9.8+.

Vulnerabilități ale temei WordPress

Nu există vulnerabilități teme WordPress noi de raportat.

O notă privind dezvăluirea responsabilă

S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.

Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.

Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.

Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.

Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.

Obțineți o alertă prin e-mail când iThemes Security Pro găsește o vulnerabilitate cunoscută pe site-ul dvs.

Site Scanner-ul pluginului iThemes Security Pro este un alt mod de a vă securiza și proteja site-ul WordPress de prima cauză a tuturor hacks-urilor software: pluginuri învechite și teme cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.

Pluginul iThemes Security Pro vă poate trimite prin e-mail rezultatele unei scanări a site-ului dacă găsește pluginuri vulnerabile, teme sau versiunea de bază WordPress pe site-ul dvs. Rezultatele scanării site-ului vor fi afișate în widget.

Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.

După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .

Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .

Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.

Obțineți iThemes Security Pro pentru a vă securiza site-ul

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security Pro

Ați ratat prima tranșă din iunie a rapoartelor de vulnerabilitate WordPress?

Urmăriți mai jos:

Iunie 2021, partea 1

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.