Отчет об уязвимостях WordPress: апрель 2021 г., часть 3

Опубликовано: 2021-04-22

Уязвимые плагины и темы - причина №1 взлома веб-сайтов WordPress. В этом посте рассматриваются недавние уязвимости плагина, темы и ядра WordPress, а также что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на три разные категории: ядро WordPress, плагины WordPress и темы WordPress. У каждой уязвимости будет низкий , средний , высокий или критический уровень серьезности. Рейтинги серьезности основаны на Общей системе оценки уязвимостей.

В апрельском отчете по части 3

Уязвимости ядра WordPress

WordPress 5.7.1 был выпущен 15 апреля 2021 года. Этот выпуск для обеспечения безопасности и обслуживания содержит 26 исправлений ошибок в дополнение к двум исправлениям безопасности. Поскольку это версия безопасности ядра WordPress, рекомендуется немедленно обновить свои сайты!

1. WordPress 5.6 - 5.7

Уязвимость : аутентифицированный XXE в библиотеке мультимедиа, влияющий на PHP 8
Запатчен в версии : 5.7
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

Уязвимость исправлена, поэтому вам следует обновить ядро WordPress до версии 5.7.1+.

2. WordPress 4.7-5.7

Уязвимость : раскрытие аутентифицированных защищенных паролем страниц
Запатчен в версии : 5.7
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: N / A: N

Уязвимость исправлена, поэтому вам следует обновить ядро WordPress до версии 5.7.1+.

Уязвимости плагина WordPress

1. Дополнения Livemesh для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 6.8
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 6.8+.

2. HT Mega - Абсолютные дополнения для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 1.5.7
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.5.7+.

3. WooLentor - дополнения WooCommerce Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 1.8.6
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.8.6+.

4. BuddyPress

Уязвимость : множественные уязвимости REST API с проверкой подлинности
Запатчен в версии : 7.3.0
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 7.3.0+.

5. Надстройки PowerPack для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 2.3.2
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.3.2+.

6. Эффекты при наведении курсора на изображение - Дополнение Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 1.3.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.3.4+.

7. Расширения и шаблоны Rife Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 1.1.6
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.1.6+.

8. Дополнения Plus для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 2.0.6
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.0.6+.

9. Универсальные надстройки для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 2.3.10
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.3.10.

10. JetWidgets для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Исправлено в версии :
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 6.8+.

11. Расширение Sina для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 3.3.12
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 3.3.12+.

12. Ultimate Addons для Elementor

Уязвимость : сохраненные межсайтовые сценарии (XSS).
Запатчен в версии : 1.30.0
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.30.0+.

13. Фитнес-калькуляторы

Уязвимость : подделка межсайтовых запросов на межсайтовый скриптинг
Запатчен в версии : 1.9.6
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.9.6+.

14. Диспетчер доступа к правам пользователей.

Уязвимость : неправильный контроль доступа
Запатчен в версии : 1.0.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.0.4+.

15. Умные дополнения для Elementor

Уязвимость : сохраненный межсайтовый скриптинг XSS
Запатчен в версии : 2.1.0
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.1.0+.

16. Простые цифровые загрузки

Уязвимость : несанкционированное отключение полосы через CSRF
Запатчен в версии : 2.10.3
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.10.3+.

17. Мост Эдвайзера

Уязвимость : обход CSRF Nonce
Запатчен в версии : 2.0.7
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.0.7+.

18. Менеджер загрузки WordPress.

Уязвимость : несанкционированное копирование загрузки
Запатчен в версии : 3.1.18
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: L / A: N

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 3.1.18+.

19. Ultimate Maps от Supsystic

Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 1.2.5
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.2.5+.

20. Всплывающее окно от Supsystic

Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 1.10.5
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.10.5+.

21. Фотогалерея от 10Web

Уязвимость : многократное отражение межсайтовых скриптов
Запатчен в версии : 1.5.69
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.5.69+.

22. Перенаправление для контактной формы 7

Уязвимость : генерация произвольного одноразового номера без аутентификации
Запатчен в версии : 2.3.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N

Уязвимость : установка аутентифицированного произвольного плагина
Запатчен в версии : 2.3.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: N

Уязвимость : внедрение аутентифицированного объекта PHP
Запатчен в версии : 2.3.4
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H

Уязвимость : аутентифицированное произвольное удаление сообщения
Запатчен в версии : 2.3.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: N / I: L / A: L

Уязвимость : незащищенные действия AJAX.
Запатчен в версии : 2.3.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: H / PR: L / UI: N / S: U / C: L / I: L / A: L

Уязвимости исправлены, поэтому вам следует выполнить обновление до версии 2.3.4+.

Уязвимости темы WordPress

На этой неделе не было обнаружено никаких новых уязвимостей тем.

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.