Отчет об уязвимостях WordPress: май 2021 г., часть 4

Уязвимые плагины и темы - причина №1 взлома веб-сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, созданный на основе WPScan, охватывает недавние уязвимости плагинов, тем и основных уязвимостей WordPress, а также что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

У каждой уязвимости будет низкий , средний , высокий или критический уровень серьезности. Ответственное раскрытие уязвимостей и сообщение о них - неотъемлемая часть обеспечения безопасности сообщества WordPress. Пожалуйста, поделитесь этим постом со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Уязвимости ядра WordPress

В этом месяце выходит выпуск безопасности WordPress 5.7.2 с одной проблемой безопасности, затрагивающей версии WordPress от 3.7 до 5.7. Если вы еще не обновились до 5.7, все версии WordPress, начиная с 3.7, также были обновлены, чтобы исправить проблему с безопасностью внедрения объектов в PHPMailer.

1. Версия безопасности WordPress 5.7.2

Уязвимость : внедрение объекта в PHPMailer
Запатчен в версии : 5.7.2
Оценка серьезности : средняя

Уязвимости плагина WordPress

1. Конструктор воронок от CartFlows

Плагин: Конструктор воронок от CartFlows
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
Запатчен в версии : 1.6.13
Степень серьезности : средняя

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.6.13+.

2. Кнопки плавной прокрутки страницы вверх / вниз.

Плагин: кнопки плавной прокрутки страниц вверх / вниз
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
Запатчен в версии : 1.4
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.4+.

3. Плагин WordPress для мгновенных изображений

Плагин: плагин мгновенных изображений для WordPress
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности и XFS
Запатчен в версии : 4.4.0.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 4.4.0.1+.

4. CM Registration Pro

Плагин: CM Registration Pro
Уязвимость : внедрение объекта PHP
Запатчен в версии : 3.2.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 3.2.1+.

5. Молитва WP

Плагин: WP Prayer
Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
Запатчен в версии : 1.6.2
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.6.2+.

6. Статистика WP

Плагин: WP Statistics
Уязвимость : SQL-инъекция без аутентификации
Запатчен в версии : 13.0.8
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 13.0.8+.

7. FlightLog

Плагин: FlightLog
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Удалите и удаляйте плагин, пока не будет выпущен патч.

8. Встраивание видео

Плагин: FlightLog
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : исправление неизвестно
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Удалите и удаляйте плагин, пока не будет выпущен патч.

Уязвимости темы WordPress

1. Авторемонтные услуги

Тема: Ремонт автомобилей
Уязвимость : неаутентифицированный отраженный межсайтовый скриптинг и XFS
Запатчен в версии : 4.0
Оценка серьезности : высокая

Примечание об ответственном раскрытии информации

Вам может быть интересно, почему уязвимость раскрывается, если она дает хакерам возможность атаковать. Что ж, очень часто исследователь безопасности находит уязвимость и в частном порядке сообщает о ней разработчику программного обеспечения.

При ответственном раскрытии информации первоначальный отчет исследователя направляется в частном порядке разработчикам компании, владеющей программным обеспечением, но с соглашением о том, что полная информация будет опубликована после того, как исправление станет доступным. Для значительных уязвимостей безопасности может быть небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для исправления.

Исследователь безопасности может указать крайний срок для разработчика программного обеспечения, чтобы ответить на отчет или предоставить исправление. Если этот срок не соблюден, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

Публичное раскрытие уязвимости и кажущееся введение уязвимости нулевого дня - типа уязвимости, для которой нет исправления и которая эксплуатируется в дикой природе - может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

Если бы хакер обнаружил уязвимость, он мог бы незаметно использовать эксплойт и нанести ущерб конечному пользователю (это вы), в то время как разработчик программного обеспечения остается довольным, оставив уязвимость не исправленной. У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней, независимо от того, была ли уязвимость исправлена.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Сканер сайта плагина iThemes Security Pro - отличный способ обезопасить и защитить ваш сайт WordPress от первой причины всех взломов программного обеспечения: устаревших плагинов и тем с известными уязвимостями.

Сканер сайта проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.

3 типа уязвимостей WordPress, проверенных iThemes Security Pro

1. Уязвимости WordPress
2. Уязвимости плагина
3. Уязвимости темы

Чтобы включить сканирование сайта при новых установках, перейдите к настройкам iThemes Security Pro и нажмите кнопку « Включить» в модуле настроек сканирования сайта .

Чтобы запустить сканирование сайта вручную, нажмите кнопку Сканировать сейчас в виджете сканирования сайта, расположенном на правой боковой панели настроек безопасности.

Результаты сканирования сайта отобразятся в виджете.

Если сканирование сайта обнаруживает уязвимость, щелкните ссылку уязвимости, чтобы просмотреть страницу с подробностями.

На странице «Проверка уязвимостей» вы увидите, доступно ли исправление для этой уязвимости. Если доступно исправление, вы можете нажать кнопку « Обновить подключаемый модуль» , чтобы применить исправление на своем веб-сайте.

Может быть задержка между появлением исправления и обновлением базы данных уязвимостей безопасности iThemes, чтобы отразить исправление. В этом случае вы можете отключить уведомление, чтобы больше не получать оповещения, связанные с уязвимостью.

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security Pro

Следите за прошлыми отчетами об уязвимостях WordPress за май 2021 года

Пропустили отчет? Вот отчеты за май 2021 года.

• Май 2021 Часть 3
• Май 2021 г. Часть 2
• Май 2021 г. Часть 1

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.