Отчет об уязвимостях WordPress: октябрь 2021 г., часть 2
Опубликовано: 2021-10-13Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.1 — была выпущена в качестве выпуска безопасности и обслуживания. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Удобная кнопка PayPal «Купить сейчас»
Плагин: Easy PayPal Buy Now Button
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Исправлено в версии : 1.7.3
Оценка серьезности : высокая
2. Мероприятия стали проще
Плагин: События стали проще
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 2.2.24
Оценка серьезности : низкая
3. Улучшенные сообщения BP
Плагин: BP Better Messages
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.9.9.41
Оценка серьезности : высокая
Плагин: BP Better Messages
Уязвимость : множественные CSRF
Исправлено в версии : 1.9.9.41
Оценка серьезности : средняя
4. Themify Builder
Плагин: Themify Builder
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 5.3.2
Оценка серьезности : высокая
5. Заголовок срока действия в далеком будущем
Плагин: Заголовок срока действия далекого будущего
Уязвимость : обновление настроек плагина через CSRF
Исправлено в версии : 1.5
Оценка серьезности : средняя
6. Контроль источника изображения
Плагин: Контроль источника изображения
Уязвимость : Автор+ Произвольное изменение мета-значения публикации
Исправлено в версии : 2.3.1
Оценка серьезности : средняя
7. Слайдер с логотипом и витрина
Плагин: слайдер логотипа и витрина
Уязвимость : обновление настроек плагина Editor
Исправлено в версии : 1.3.37
Оценка серьезности : низкая
8. Платежный шлюз Cardinity для WooCommerce
Плагин: Платежный шлюз Cardinity для WooCommerce
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.0.7
Оценка серьезности : высокая
9. Аудиоплеер MP3 для музыки, радио и подкастов от Sonaar
Плагин: MP3 Audio Player для музыки, радио и подкастов от Sonaar
Уязвимость : несколько межсайтовых сценариев администратора +
Исправлено в версии : 2.4.2
Оценка серьезности : низкая
10. Пожертвование PayPal
Плагин: Пожертвование Paypal
Уязвимость : CSRF для произвольного удаления сообщений
Исправлено в версии : 1.3.1
Оценка серьезности : средняя
Плагин: Пожертвование Paypal
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Исправлено в версии : 1.3.1
Оценка серьезности : высокая
11. Скоро, в режиме строительства и обслуживания от Dazzler
Плагин: Скоро в продаже, в режиме разработки и обслуживания от Dazzler
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.6.7
Оценка серьезности : низкая
12. Перевести WordPress — Google Language Translator
Плагин: Translate WordPress — Google Language Translator
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 6.0.12
Оценка серьезности : низкая
13. Помощник по продукту Booking.com
Плагин: Помощник по продуктам Booking.com
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
14. Создатель баннеров Booking.com
Плагин: Booking.com Banner Creator
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
15. Простой монитор загрузки
Плагин: Простой монитор загрузки
Уязвимость : несанкционированный сброс журнала
Исправлено в версии : 3.9.6
Оценка серьезности : средняя
Плагин: Простой монитор загрузки
Уязвимость : произвольное удаление эскизов
Исправлено в версии : 3.9.6
Оценка серьезности : средняя
Плагин: Простой монитор загрузки
Уязвимость : неавторизованный доступ к журналу
Исправлено в версии : 3.9.6
Оценка серьезности : средняя
Плагин: Простой монитор загрузки
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.9.5
Оценка серьезности : высокая
Плагин: Простой монитор загрузки
Уязвимость : Contributor+ хранит межсайтовый скриптинг через миниатюру файла
Исправлено в версии : 3.9.5
Оценка серьезности : высокая
16. Двусторонний чат
Плагин: Двусторонний чат
Уязвимость : множественные CSRF
Исправлено в версии : 3.1.5
Оценка серьезности : средняя
Плагин: Двусторонний чат
Уязвимость : Admin+ включение локальных файлов
Исправлено в версии : 3.1.5
Оценка серьезности : низкая
17. WP-отзыв
Плагин: WP-Recall
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 16.24.48
Оценка серьезности : высокая
18. Доска объявлений JobSearch WP
Плагин: JobSearch WP Job Board
Уязвимость : обновление опций подписчика + произвольного блога
Исправлено в версии : 1.8.2
Оценка серьезности : высокая
Плагин: JobSearch WP Job Board
Уязвимость : обновление настроек плагина, не прошедшего проверку подлинности
Исправлено в версии : 1.8.2
Оценка серьезности : средняя
Плагин: JobSearch WP Job Board
Уязвимость : подписчик + вызовы по расписанию добавления/обновления
Исправлено в версии : 1.8.2
Оценка серьезности : средняя
19. Корзина покупок электронной коммерции TheCartPress
Плагин: TheCartPress Корзина покупок для электронной коммерции
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
20. API MS Store
Плагин: MStore API
Уязвимость : неаутентифицированная загрузка файла PHP
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : критическая
21. Переименование медиафайлов — автоматическое и ручное переименование
Плагин: Media File Renamer — автоматическое и ручное переименование
Уязвимость : обновление заголовка носителя/имени файла/состояния блокировки через CSRF
Исправлено в версии : 5.2.7
Оценка серьезности : средняя
22. Пакетный кот
Плагин: Пакетный Кот
Уязвимость : Подписчик + Произвольные категории Добавление/установка/удаление сообщений
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
23. qПеревести X
Плагин: qTranslate X
Уязвимость : множественные межсайтовые сценарии, хранящиеся администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
24. Информация о путешествиях по миру
Плагин: Информация о путешествиях по миру
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
25. Обзор WP Plus
Плагин: WP Survey Plus
Уязвимость : абонент + AJAX-вызовы
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
26. Карта сайта WP
Плагин: Карта сайта WP
Уязвимость : Сохраненный межсайтовый скриптинг Admin+
Исправлено в версии : неизвестное исправление
Оценка серьезности : низкая
27. WP Баннеризация 2.0.0
Плагин: WP Bannerize 2.0.0
Уязвимость : SQL-инъекция с проверкой подлинности
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
28. Genie WP Фавикон
Плагин: Genie WP Favicon
Уязвимость : Произвольное изменение Favicon через CSRF
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
29. Феникс Медиа переименовать
Плагин: Phoenix Media Rename
Уязвимость : автор произвольного переименования медиафайла
Исправлено в версии : 3.4.4
Оценка серьезности : средняя
30. Статистика посещаемости в реальном времени
Плагин: Статистика посещаемости в реальном времени
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 3.9
Оценка серьезности : высокая
31. Кнопки AddToAny Share
Плагин: AddToAny Share Buttons
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.7.48
Оценка серьезности : низкая
32. Грозный конструктор форм
Плагин: Грозный конструктор форм
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 5.0.07
Оценка серьезности : низкая
33. Пуленепробиваемая безопасность
Плагин: BulletProof Security
Уязвимость : раскрытие конфиденциальной информации
Исправлено в версии : 5.2
Оценка серьезности : средняя
34. WP Все Экспорт
Плагин: WP All Export
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.3.1
Оценка серьезности : низкая
35. Перенаправить страницу ошибки 404 на домашнюю или пользовательскую страницу с журналами.
Плагин: перенаправить страницу ошибки 404 на домашнюю или пользовательскую страницу с журналами
Уязвимость : удаление журнала через CSRF
Исправлено в версии : 1.7.9
Оценка серьезности : средняя
36. Доступ к импортеру демо
Плагин: доступ к импортеру демо
Уязвимость : подписчик + загрузка произвольного файла
Исправлено в версии : 1.0.7
Оценка серьезности : высокая
37. Скачать монитор
Плагин: Скачать монитор
Уязвимость : неаутентифицированная загрузка журналов
Исправлено в версии : 1.9.7
Оценка серьезности : средняя
Плагин: Скачать монитор
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Исправлено в версии : 1.7.1
Оценка серьезности : средняя
Плагин: Скачать монитор
Уязвимость : список каталогов, прошедших проверку подлинности
Исправлено в версии : 1.6.4
Оценка серьезности : средняя
Плагин: Скачать монитор
Уязвимость : многократные отраженные межсайтовые сценарии
Исправлено в версии : 3.3.6.2
Оценка серьезности : средняя
38. Неограниченное количество всплывающих окон
Плагин: неограниченное количество всплывающих окон
Уязвимость : автор + SQL-инъекция
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
39. Шрайкастен
Плагин: Schreikasten
Уязвимость : авторские + SQL-инъекции
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
40. Опубликовать контент XMLRPC
Плагин: Опубликовать контент XMLRPC
Уязвимость : авторские + SQL-инъекции
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
41. Ничего себе формы
Плагин: Вау Формы
Уязвимость : авторские + SQL-инъекции
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
42. Автоматическая гиперссылка
Плагин: G Авто-гиперссылка
Уязвимость : автор + SQL-инъекция
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
43. Хамелеон CSS
Плагин: Хамелеон CSS
Уязвимость : подписчик + SQL-инъекция
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : критическая
44. ПаукКаталог
Плагин: SpiderCatalog
Уязвимость : автор + SQL-инъекция
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
45. Доска поддержки
Плагин: Доска поддержки
Уязвимость : Агент + Сохраненный межсайтовый скриптинг
Исправлено в версии : 3.3.5
Оценка серьезности : средняя
46. Возрастные ворота
Плагин: Age Gate
Уязвимость : Аутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 2.16.4
Оценка серьезности : средняя
47. Встроенные похожие сообщения
Плагин: встроенные похожие сообщения
Уязвимость : администрирование + межсайтовый скриптинг
Исправлено в версии : 3.0.5
Оценка серьезности : низкая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или версия ядра WordPress с известной уязвимостью.
1. Сканирование известных уязвимостей веб-сайтов
Плагин iThemes Security Pro сканирует сайты WordPress по причине №1 взлома: устаревшие плагины и темы с известными уязвимостями.
2. Автоматическое обновление до безопасных версий
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Отслеживайте изменения файлов
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом веб-сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.