WordPress Vulnerability Roundup: octombrie 2020, partea 2

Publicat: 2021-03-10

Câteva vulnerabilități noi pentru pluginurile WordPress au fost dezvăluite în a doua jumătate a lunii octombrie. În această postare, acoperim vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress.

În raportul din octombrie, partea 2

    Vulnerabilități de bază WordPress

    WordPress 5.5.2 a fost lansat pe 29 octombrie și a inclus 10 remedieri de securitate de bază WordPress.

    Iată lista remedierilor de securitate menționate în postul de lansare WordPress 5.5.2.

    • Cereri de deserializare întărite.
    • Remediați pentru a dezactiva încorporările spam de pe site-urile dezactivate dintr-o rețea multisite .
    • S-a rezolvat o problemă de securitate care putea duce la un XSS din variabilele globale.
    • S-a remediat o problemă de escaladare a privilegiilor în XML-RPC.
    • S-a rezolvat o problemă legată de escaladarea privilegiilor în legătură cu postarea comentariilor prin XML-RPC.
    • S-a rezolvat o problemă de securitate în care un atac DoS putea duce la RCE.
    • A fost eliminată o metodă de stocare XSS în post slugs.
    • S-a eliminat metoda de a ocoli meta protejat care ar putea duce la ștergerea arbitrară a fișierelor.
    • A fost eliminată o metodă care ar putea duce la CSRF.
    Vulnerabilitățile au fost reparate, așa că actualizați WordPress la versiunea 5.5.2.

    Vulnerabilități ale pluginului WordPress

    1. Chat live - Asistență live

    Chat live - Versiunile de asistență live de mai jos 3.2.0 prezintă o vulnerabilitate de falsificare a cererii între site-uri.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 3.2.0.

    2. Chat rapid

    Toate versiunile de Chat rapid au o vulnerabilitate neautentificată stocată pe site-uri de cross-site.

    Eliminați pluginul până când se lansează o soluție de securitate.

    3. Creator de teme pentru copii de Orbisius

    Versiunile Child Theme Creator de Orbisius de mai jos 1.5.2 au o vulnerabilitate CSRF la modificarea / crearea fișierelor arbitrare.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.5.2.

    4. Realia

    Toate versiunile Realia au un IDOR neautentificat care duce la vulnerabilitate după ștergerea arbitrară.

    Eliminați pluginul până când se lansează o soluție de securitate.

    5. Comentariu Apăsați

    Comentariu Apăsați versiunile de mai jos 2.7.2 prezintă o vulnerabilitate neautentificată în Cross-Frame Scripting.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.7.2.

    6. Super Store Finder pentru WordPress

    Super Store Finder pentru versiunile WordPress de mai jos 6.2 prezintă o vulnerabilitate de încărcare de fișiere arbitrară neautentificată.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 6.2.

    7. Hărți super interactive pentru WordPress

    Hărțile super interactive pentru versiunile WordPress de mai jos 2.0 prezintă o vulnerabilitate de încărcare a fișierelor arbitrare neautentificate.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.0.

    8. Vitrina Super Logos pentru WordPress

    Super Logos Showcase pentru versiunile WordPress de mai jos 2.3 prezintă o vulnerabilitate de încărcare a fișierelor arbitrare neautentificate.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.3.

    9. Monitor de descărcare simplă

    Versiunile simple de monitorizare a descărcării de mai jos 3.8.9 au vulnerabilități de tip cross-site neautentificat și SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 3.8.9.

    10. Conectare

    Versiunile Loginizer de mai jos 1.6.4 prezintă o vulnerabilitate neautentificată SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.6.4.

    11. Sliderul logo-ului marca Helios Solutions

    Toate versiunile Helios Solutions Brand Logo Slider au o vulnerabilitate autentificată de încărcare a fișierelor arbitrare.

    Eliminați pluginul până când se lansează o soluție de securitate.

    12. CM Download Manager

    Versiunile CM Download Manager de mai jos 2.8.0 prezintă o vulnerabilitate autentificată între site-uri.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.8.0.

    13. Calendar avansat de rezervări

    Versiunile Advanced Calendar Calendar de mai jos 1.6.2 prezintă o vulnerabilitate neautentificată SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.6.2.

    Vulnerabilități ale temei WordPress

    Nu au fost raportate vulnerabilități ale temei WordPress în a doua jumătate a lunii octombrie.

    Sfat de securitate din octombrie: de ce ar trebui să înregistrați activitatea de securitate a site-ului web

    Jurnalul de securitate ar trebui să fie o parte esențială a strategiei dvs. de securitate WordPress. De ce?

    Înregistrarea și monitorizarea insuficiente pot duce la o întârziere în detectarea unei încălcări de securitate. Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile!

    Această perioadă de timp permite unui atacator să încalce alte sisteme, să modifice, să fure sau să distrugă mai multe date. Din acest motiv, „logarea insuficientă” a aterizat pe primele 10 riscuri de securitate ale aplicațiilor web OWASP.

    Jurnalele de securitate WordPress au mai multe avantaje în strategia dvs. generală de securitate, ajutându-vă:

    1. Identificați și opriți comportamentul rău intenționat.
    2. Activitate la fața locului care vă poate avertiza cu privire la o încălcare.
    3. Evaluează cât de multă pagubă a fost făcută.
    4. Ajutor la repararea unui site piratat.

    Dacă site-ul dvs. este piratat, veți dori să aveți cele mai bune informații pentru a vă ajuta într-o investigație și recuperare rapidă.

    Vestea bună este că iThemes Security Pro vă poate ajuta să implementați înregistrarea site-ului web. Jurnalele de securitate WordPress ale iThemes Security Pro urmăresc toate aceste activități ale site-ului pentru dvs.:

    • Atacuri de forță brută WordPress
    • Schimbări de fișiere
    • Scanări malware
    • Activitatea utilizatorului

    Statisticile din jurnalele dvs. sunt apoi afișate într-un tablou de bord de securitate WordPress în timp real, pe care îl puteți vedea din tabloul de bord al administratorului WordPress.

    Consultați această postare de reflecție a caracteristicii, unde descompunem toți pașii de adăugare a jurnalelor de securitate WordPress pe site-ul dvs. web folosind iThemes Security Pro.

    Vezi cum funcționează

    Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

    iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

    Obțineți iThemes Security Pro