Отчет об уязвимостях WordPress: март 2021 г., часть 4

Опубликовано: 2021-03-30

Новые уязвимости плагинов и тем WordPress были обнаружены в последнюю неделю марта. В этом посте рассказывается о последних уязвимостях плагина, темы и ядра WordPress, а также о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на три разные категории: ядро WordPress, плагины WordPress и темы WordPress.

У каждой уязвимости будет низкий , средний , высокий или критический уровень серьезности. Рейтинги серьезности основаны на Общей системе оценки уязвимостей.

В мартовском отчете по части 4

Уязвимости ядра WordPress

В этом месяце не было обнаружено никаких новых уязвимостей ядра WordPress.

Уязвимости плагина WordPress

1. GiveWP

Уязвимость : отражение межсайтовых скриптов
Запатчен в версии : 2.10.0
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

2. Mapplic и Mapplic Lite

Уязвимость : SSRF для сохраненного межсайтового скриптинга.
Исправлено в версии : Mapplic Lite 1.0.1 и Mapplic 6.2.1
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L

3. MapifyLife

Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
Исправлено в версии : исправление неизвестно
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

4. Тестирование страницы Thrive AB

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 1.4.13.3
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

5. Комментарии Thrive

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 1.4.15.3
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

6. Оптимизатор заголовков Thrive

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 1.3.7.3
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

7. Успешные лидеры

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 2.3.9.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

8. Ультиматум процветания

9. Конструктор Thrive Quiz Builder

10. Процветай подмастерье

11. Визуальный редактор Thrive Visual Editor

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 2.6.7.4
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

12. Панель управления Thrive

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 2.3.9.3
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

13. Преуспевайте овациями

Уязвимость : обновление опции без аутентификации
Запатчен в версии : 2.4.5
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: N / I: L / A: N

14. Регистратор JH 404

Уязвимость : сохраненные межсайтовые сценарии без аутентификации
Исправлено в версии : исправление неизвестно
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

15. Бизнес-справочник

Уязвимость : неаутентифицированный отраженный межсайтовый скриптинг
Исправлено в версии : исправление неизвестно
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: N

16. Facebook для WordPress

Уязвимость : внедрение объекта PHP с помощью цепочки POP
Запатчен в версии : 3.0.0
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H

Уязвимость : CSRF для сохраненного XSS и удаления настроек
Запатчен в версии : 3.0.4
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H

17. Вертикальный скроллер новостей

Уязвимость : межсайтовый скриптинг с аутентификацией и отражением
Запатчен в версии : 1.17
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

18. Мастер викторин и опросов

Уязвимость : аутентифицированная SQL-инъекция с помощью шорткода.
Запатчен в версии : 7.1.12
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H

Уязвимость : аутентифицированная SQL-инъекция через Rest API.
Запатчен в версии : 7.1.14
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H

19. WP-Curricul Vitea Free

Уязвимость : загрузка произвольного файла без аутентификации в RCE
Исправлено в версии : исправление неизвестно
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

20. Форма загрузки N5

21. Простой конструктор форм

Уязвимость : загрузка произвольного файла с проверкой подлинности
Исправлено в версии : исправление неизвестно
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

22. Патреон WordPress

Уязвимость : раскрытие локального файла без аутентификации
Запатчен в версии : 1.7.0
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N

Уязвимость : CSRF для перезаписи / создания пользовательских метаданных
Запатчен в версии : 1.7.0
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H

Уязвимость : CSRF для отключения сайтов от Patreon
Запатчен в версии : 1.7.0
Уровень серьезности : средний - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: N / I: N / A: H

Уязвимость : CSRF для отключения сайтов от Patreon
Запатчен в версии : 1.7.0
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H

Уязвимость : отражение XSS в форме входа
Запатчен в версии : 1.7.2
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H

Уязвимость : отражение XSS в действии AJAX patreon_save_attachment_patreon_level
Запатчен в версии : 1.7.2
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H

23. AccessAlly

Уязвимость : $ _SERVER Superglobal Leakage.
Запатчен в версии : 3.5.7
Уровень серьезности : высокий - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: N / A: N

Уязвимости темы WordPress

1. Все устаревшие темы Thrive Themes

Затронутые темы: Rise, Luxe, Minus, Ignition, Focusblog, Squared, Voice, Performag, Pressive и Storied.
Уязвимость : неаутентифицированная загрузка произвольного файла и удаление параметров
Запатчен в версии : 2.0.0
Уровень серьезности : критический - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security Pro

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.