Отчет об уязвимостях WordPress: август 2021 г., часть 3

Уязвимые плагины и темы - причина №1 взлома веб-сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, созданный на основе WPScan, охватывает недавние уязвимости плагинов, тем и основных уязвимостей WordPress, а также что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

У каждой уязвимости будет низкий , средний , высокий или критический уровень серьезности. Ответственное раскрытие уязвимостей и сообщение о них - неотъемлемая часть обеспечения безопасности сообщества WordPress.

Как один из крупнейших отчетов об уязвимостях WordPress на сегодняшний день, поделитесь этим сообщением со своими друзьями , чтобы рассказать о нем и сделать WordPress более безопасным для всех.

Уязвимости ядра WordPress

1. Чистый вход

Плагин: Чистый вход
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 1.12.6.4
Оценка серьезности : средняя

2. SliceWP

Плагин: SliceWP
Уязвимость : отражение межсайтовых скриптов (XSS)
Запатчен в версии : 1.0.46
Оценка серьезности : высокая

3. Менеджер загрузки WordPress.

Плагин: Менеджер загрузок WordPress
Уязвимость : обновление настроек шаблона электронной почты через CSRF
Запатчен в версии : 3.2.13
Оценка серьезности : средняя

4. SpeakOut! Электронная почта петиции

Плагин: SpeakOut! Электронная почта петиции
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 2.13.3
Оценка серьезности : высокая

5. Обзоры сайта

Плагин: Обзоры сайтов
Уязвимость : сохраненный XSS с проверкой подлинности.
Запатчен в версии : 5.13.1
Оценка серьезности : низкая

6. Репетитор LMS

Плагин: Tutor LMS
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 1.9.6
Оценка серьезности : высокая

7. Панель уведомлений WPFront

Плагин: Панель уведомлений WPFront
Уязвимость : сохраненный XSS с проверкой подлинности.
Запатчен в версии : 2.1.08087
Оценка серьезности : низкая

8. Конструктор форм

Плагин: Конструктор форм
Уязвимость : отражение межсайтовых скриптов (XSS)
Запатчен в версии : 1.9.8.5
Оценка серьезности : высокая

Плагин: Конструктор форм
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
Запатчен в версии : 1.9.8.4
Оценка серьезности : низкая

9. Резервное копирование WPvivid

Плагин: WPvivid Backup
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 0.9.56
Оценка серьезности : высокая

10. AddToAny

Плагин: AddToAny
Уязвимость : сохраненный XSS с проверкой подлинности.
Запатчен в версии : 1.7.46
Оценка серьезности : низкая

11. Остановить безопасность спамеров

Плагин: Stop Spammers Security
Уязвимость : сохраненный XSS с проверкой подлинности.
Запатчен в версии : 2021.18
Оценка серьезности : низкая

12. Ключевые слова и мета

Плагин: Ключевые слова и мета
Уязвимость : CSRF для хранимых межсайтовых сценариев (XSS).
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

13. Titan Framework

Плагин: Titan Framework
Уязвимость : отражение межсайтовых скриптов (XSS)
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

Влияет на плагины:

• 4k-icon-fonts-for-visual-composer - Исправление неизвестно - плагин закрыт
• adblock-notify-by-bweb - исправление неизвестно
• affiliate-pro - Исправление неизвестно - плагин закрыт
• amp-extensions - Нет известных исправлений
• aoi-tori - исправление неизвестно
• awesome-support - исправление неизвестно
• betteroptin - исправление неизвестно - плагин закрыт
• border-loading-bar - Исправление неизвестно
• catchers-helpdesk - Нет известных исправлений
• категории-галерея - Нет известных исправлений
• Categories-gallery-woocommerce - Исправление неизвестно
• cf7-customizer - Нет известных исправлений
• Clinicalwp-core - исправление неизвестно
• cool-facebook-page-feed-timeline - Исправление неизвестно - плагин закрыт
• custom-scroll-bar-designer - Нет известных исправлений
• custom-text-selection-colors - Нет известных исправлений
• disable-image-right-click - исправление неизвестно
• easy-gallery-slideshow - Нет известных исправлений
• easy-google-map - исправление неизвестно
• easy-justified-gallery - Исправление неизвестно
• email-my-posts - Нет известных исправлений
• exit-popup-show - исправление неизвестно
• flight-search-widget-blocks - исправление неизвестно
• icons-with-links-widget - исправлений нет - плагин закрыт
• icustomizer - Нет известных исправлений
• live-chat-facebook-fanpage - исправлений нет.
• media-mirror - исправление неизвестно
• mobile-menu - Нет известных исправлений
• popup-modal-for-youtube - исправление неизвестно
• project-app - исправление неизвестно
• seatgeek-affiliate-Tickets - исправлений нет
• seo-dashboard-by-gutewebsites-de - Нет известных исправлений
• share-woocommerce-email - исправление неизвестно
• простое поведение-портфолио - исправление неизвестно
• stars-menu - исправлений нет - плагин закрыт
• station-pro - Нет известных исправлений
• липкие-связанные-сообщения - Нет известных исправлений - плагин закрыт
• tcs3 - Нет известных исправлений
• template-events-calendar - исправлений нет.
• total-sales-for-woocommerce - исправление неизвестно
• tr-easy-google-analytics - исправление неизвестно - плагин закрыт
• venture-event-manager - исправление неизвестно
• w3s-cf7-zoho - Нет известных исправлений.
• webhotelier - исправление неизвестно
• woo-availability-date - Нет известных исправлений
• woo-whatsapp-request-quote - Исправление неизвестно - плагин закрыт
• woosaleskit-bar - Исправление неизвестно - плагин закрыт
• yandex-money-button - исправление неизвестно

14. WP Fusion Lite

Плагин: WP Fusion Lite
Уязвимость : CSRF для удаления данных
Запатчен в версии : 3.37.30
Оценка серьезности : средняя

Плагин: WP Fusion Lite
Уязвимость : отражение межсайтовых скриптов (XSS)
Запатчен в версии : 3.37.30
Оценка серьезности : высокая

Плагин: WP Fusion Lite
Уязвимость : отражение межсайтовых скриптов (XSS)
Запатчен в версии : 3.37.31
Оценка серьезности : высокая

15. Блокируйте и останавливайте плохих ботов.

Плагин: блокировка и остановка плохих ботов
Уязвимость : аутентифицированные SQL-инъекции
Запатчен в версии : 6.60
Оценка серьезности : средняя

16. WP Простой календарь бронирования

Плагин: WP Simple Booking Calendar
Уязвимость : аутентифицированные SQL-инъекции
Запатчен в версии : 2.0.6
Оценка серьезности : средняя

17. Платные подписки для участников

Плагин: платные подписки для участников
Уязвимость : аутентифицированные SQL-инъекции
Запатчен в версии : 2.4.2
Оценка серьезности : средняя

18. Фавикон от RealFaviconGenerator.

Плагин: Favicon от RealFaviconGenerator
Уязвимость : отражение межсайтовых скриптов (XSS)
Запатчен в версии : 1.3.22
Оценка серьезности : высокая

19. Alipay

Плагин: Alipay
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

20. Кэштомер

Плагин: Cashtomer
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

21. Членство в WordPress SwiftCloud.io

Плагин: членство в WordPress SwiftCloud.io
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

22. Членство в WordPress SwiftCloud.io

Плагин: Comment Highlighter
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

23. Easy Testimonial Manager

Плагин: Easy Testimonial Manager
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

24. Вставить видео с YouTube

Плагин: встраивать видео с YouTube
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : средняя

25. Мастер викторин и опросов

Плагин: Quiz And Survey Master
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 7.1.14
Оценка серьезности : высокая

26. Записаться на прием онлайн

Плагин: Запись на прием онлайн
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности (XSS)
Запатчен в версии : 1.39
Оценка серьезности : низкая

27. Google Authenticator от miniOrange

Плагин: miniOrange's Google Authenticator
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 5.4.40
Оценка серьезности : высокая

28. Двухфакторная аутентификация.

Плагин: двухфакторная аутентификация
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 1.0.8
Оценка серьезности : высокая

29. Время ежедневной молитвы

Плагин: Ежедневная молитва
Уязвимость : сохраненный XSS с проверкой подлинности.
Запатчен в версии : 2021.08.10
Оценка серьезности : низкая

30. Пользовательский генератор постов

Плагин: Custom Post View Generator
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

31. Видеоплеер FV Flowplayer

Плагин: FV Flowplayer Video Player
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 7.5.3.727
Оценка серьезности : высокая

32. Картинная галерея.

Плагин: Картинная галерея
Уязвимость : сохраненный XSS с проверкой подлинности.
Исправлено в версии : исправление неизвестно
Оценка серьезности : низкая

33. Менеджер лицензий на программное обеспечение

Плагин: Менеджер лицензий на программное обеспечение
Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 4.4.8 (плагин закрыт)
Оценка серьезности : высокая

34. Добавить в заголовок на странице

Плагин: на страницу добавить в заголовок
Уязвимость : сохраненный XSS с проверкой подлинности.
Исправлено в версии : исправление неизвестно
Оценка серьезности : низкая

Плагин: на страницу добавить в заголовок
Уязвимость : CSRF для хранимого XSS
Запатчен в версии : 1.4.4 (плагин закрыт)
Оценка серьезности : высокая

35. Securimage-WP-Fixed

Плагин: Securimage-WP-Fixed
Уязвимость : отражение межсайтовых скриптов (XSS)
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

36. Экспорт изображения

Плагин: экспорт изображений
Уязвимость : обход каталога
Исправлено в версии : исправление неизвестно
Оценка серьезности : критическая

37. Ползунок для текста в посте.

Плагин: ползунок текста содержимого в публикации
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности (XSS)
Запатчен в версии : 6.9
Оценка серьезности : средняя

38. Генератор контактной формы

Плагин: Генератор контактной формы
Уязвимость : множественная подделка межсайтовых запросов (CSRF)
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

39. Calendar_plugin

Плагин: Calendar_plugin
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

40. Добавить боковую панель

Плагин: Добавить боковую панель
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

41. WP SEO Теги

Плагин: WP SEO Tags
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

42. Moova для WooCommerce

Плагин: Moova для WooCommerce
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

43. jQuery Tagline Rotator

Плагин: jQuery Tagline Rotator
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

44. Таблица цен на Plugmatter Lite

Плагин: Таблица цен на Plugmatter Lite
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

45. Простое всплывающее информационное сообщение

Плагин: Simple Popup Newsletter
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

46. ​​TypoFR

Плагин: TypoFR
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

47. Сборник песен WP

Плагин: WP Songbook
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

48. Пользовательские отношения типов сообщений

Плагин: Custom Post Type Relations
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

49. Двухсторонние видеозвонки и случайный чат

Плагин: Двухсторонние видеозвонки и случайный чат
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

50. WP Фонтан

Плагин: WP Fountain
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

51. Использование СМИ

Плагин: Использование СМИ
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

52. Карты с каракулями

Плагин: Scribble Maps
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

53. Многопользовательские игры.

Плагин: Многопользовательские игры
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

54. Скаутский базар

Плагин: Skaut bazar
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

55. Умные оповещения по электронной почте

Плагин: умные оповещения по электронной почте
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

56. Простое портфолио Behance

Плагин: Простое портфолио Behance
Уязвимость : отражение межсайтовых скриптов
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

Уязвимости темы WordPress

Примечание об ответственном раскрытии информации

Вам может быть интересно, почему уязвимость раскрывается, если она дает хакерам возможность атаковать. Что ж, очень часто исследователь безопасности находит уязвимость и в частном порядке сообщает о ней разработчику программного обеспечения.

При ответственном раскрытии информации первоначальный отчет исследователя направляется в частном порядке разработчикам компании, владеющей программным обеспечением, но с соглашением о том, что полная информация будет опубликована после того, как исправление станет доступным. Для значительных уязвимостей безопасности может быть небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для исправления.

Исследователь безопасности может указать крайний срок для разработчика программного обеспечения, чтобы ответить на отчет или предоставить исправление. Если этот срок не соблюден, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

Публичное раскрытие уязвимости и кажущееся введение уязвимости нулевого дня - типа уязвимости, для которой нет исправления и которая эксплуатируется в дикой природе - может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

Если бы хакер обнаружил уязвимость, он мог бы незаметно использовать эксплойт и нанести ущерб конечному пользователю (это вы), в то время как разработчик программного обеспечения остается довольным, оставив уязвимость не исправленной. У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней, независимо от того, была ли уязвимость исправлена.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе каждого сообщения об обнаружении уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не работает тема, плагин или основная версия WordPress с известной уязвимостью.

1. Включите сканер сайта iThemes Security Pro.

Сканер сайта плагина iThemes Security Pro сканирует первую причину взлома сайтов WordPress: устаревшие плагины и темы с известными уязвимостями. Сканер сайта проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.

Чтобы включить сканирование сайта при новых установках, перейдите на вкладку «Проверка сайта» в меню «Функции» внутри плагина и щелкните переключатель, чтобы включить сканирование сайта .

Чтобы запустить сканирование сайта вручную, нажмите кнопку « Сканировать сейчас» на карточке панели управления безопасностью сканирования сайта.

Если сканирование сайта обнаруживает уязвимость, щелкните ссылку уязвимости, чтобы просмотреть страницу с подробностями.

На странице «Проверка уязвимостей» вы увидите, доступно ли исправление для этой уязвимости. Если доступно исправление, вы можете нажать кнопку « Обновить подключаемый модуль» , чтобы применить исправление на своем веб-сайте.

2. Включите управление версиями.

Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта, когда устаревшее программное обеспечение не обновляется достаточно быстро. Даже самые строгие меры безопасности не сработают, если вы используете на своем веб-сайте уязвимое программное обеспечение. Эти настройки помогают защитить ваш сайт с возможностью автоматического обновления до новых версий, если существует известная уязвимость и доступно исправление.

На странице настроек в iThemes Security Pro перейдите на экран функций. Щелкните вкладку Проверка сайта. Отсюда используйте переключатель, чтобы включить Управление версиями. Используя механизм настроек, вы можете настроить еще больше параметров, в том числе то, как iThemes Security Pro будет обрабатывать обновления WordPress, плагины, темы и дополнительную защиту.

Обязательно выберите Автоматическое обновление, если оно исправляет уязвимость, чтобы iThemes Security Pro автоматически обновлял плагин или тему, если он исправляет уязвимость, обнаруженную Сканером сайта.

3. Получайте уведомление по электронной почте, когда iThemes Security Pro обнаруживает известную уязвимость на вашем сайте.

После того, как вы включили планирование сканирования сайта, перейдите в настройки Центра уведомлений плагина. На этом экране перейдите к разделу Результаты сканирования сайта.

Установите флажок, чтобы включить уведомление по электронной почте, а затем нажмите кнопку « Сохранить настройки» .

Теперь во время любого запланированного сканирования сайта вы получите электронное письмо, если iThemes Security Pro обнаружит какие-либо известные уязвимости. Электронное письмо будет выглядеть примерно так.

Получите iThemes Security Pro и сегодня вечером отдыхайте немного легче

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.