Отчет об уязвимостях WordPress: октябрь 2021 г., часть 4
Опубликовано: 2021-10-27Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.1 — была выпущена в качестве выпуска безопасности и обслуживания. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Общие файлы
Плагин: Общие файлы
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.6.61
Оценка серьезности : низкая
2. QR-перенаправитель
Плагин: QR Redirector
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.6.1
Оценка серьезности : средняя
Плагин: QR Redirector
Уязвимость : обновление статуса ответа на произвольный QR-перенаправление подписчика +
Исправлено в версии : 1.6
Оценка серьезности : средняя
3. Плавная прокрутка колесиком мыши
Плагин: MouseWheel Smooth Scroll
Уязвимость : обновление настроек плагина через CSRF
Исправлено в версии : 5.7
Оценка серьезности : средняя
4. Вставьте страницы
Плагин: Вставка страниц
Уязвимость : автор + доступ к произвольным сообщениям/страницам
Исправлено в версии : 3.7.0
Оценка серьезности : средняя
Плагин: Вставка страниц
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 3.7.0
Оценка серьезности : средняя
5. SEO-перенаправление
Плагин: SEO-перенаправление
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 8.2
Оценка серьезности : высокая
6. Пожертвование PayPal
Плагин: Пожертвование Paypal
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.3.2
Оценка серьезности : низкая
7. IMpress для брокера IDX
Плагин: IMPress для брокера IDX
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.0.6
Оценка серьезности : высокая
8. Простой вход в JWT
Плагин: Простой вход в JWT
Уязвимость : Произвольное обновление настроек для захвата сайта через CSRF
Исправлено в версии : 3.2.1
Оценка серьезности : высокая
9. Мои билеты
Плагин: Мои билеты
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 1.8.31
Оценка серьезности : высокая
10. Выставление счетов клиентам Sprout Invoices
Плагин: выставление счетов клиентам с помощью Sprout Invoices
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 19.9.7
Оценка серьезности : низкая
11. Журнал электронной почты
Плагин: Журнал электронной почты
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 2.4.7
Оценка серьезности : средняя
12. Усилитель оценки производительности WP
Плагин WP Performance Score Booster
Уязвимость : изменение настроек через CSRF
Исправлено в версии : 2.1
Оценка серьезности : средняя
13. Интеграция с Active Directory / LDAP
Плагин: интеграция с Active Directory / интеграция с LDAP
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 3.6.95
Оценка серьезности : высокая
14. Таблица на
Плагин: TableOn
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.0.1
Оценка серьезности : средняя
15. Адаптивный слайдер изображений, фотогалерея и карусель
Плагин: адаптивный слайдер изображений, фотогалерея и карусель
Уязвимость : слайдер Clone/Save/Delete через CSRF
Исправлено в версии : 1.3.2
Оценка серьезности : средняя
Плагин: адаптивный слайдер изображений, фотогалерея и карусель
Уязвимость : подписчик + произвольный доступ к сообщениям
Исправлено в версии : 1.3.6
Оценка серьезности : средняя
16. Карта сайта WP
Плагин: Карта сайта WP
Уязвимость : Сохраненный межсайтовый скриптинг Admin+
Исправлено в версии : 1.7.0
Оценка серьезности : низкая
17. Стрим
Плагин: Поток
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 3.8.2
Оценка серьезности : средняя
18. Полезно
Плагин: Полезный
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 4.4.59
Оценка серьезности : низкая
19. Изучайте прессу
Плагин: LearnPress
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 4.1.3.2
Оценка серьезности : низкая
20. Постановка контента
Плагин: постановка контента
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
21. Дырявый платный доступ
Плагин: дырявый платный доступ
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : неизвестное исправление
Оценка серьезности : низкая
22. Репетитор LMS
Плагин: Репетитор LMS
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.9.11
Оценка серьезности : средняя
23. Витрина логотипа с Slick Slider
Плагин: Витрина логотипов с Slick Slider
Уязвимость : Автор+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.2.4
Оценка серьезности : средняя
24. Грозный конструктор форм
Плагин: Грозный конструктор форм
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 4.09.05
Оценка серьезности : низкая
25. Скачать плагин
Плагин: Скачать плагин
Уязвимость : подписчик + произвольная активация плагина
Исправлено в версии : 1.6.1
Оценка серьезности : средняя
26. Изображения в WebP
Плагин: Изображения в WebP
Уязвимость : множественная подделка межсайтовых запросов (CSRF)
Исправлено в версии : 1.9
Оценка серьезности : средняя
Плагин: Изображения в WebP
Уязвимость : включение локального файла с проверкой подлинности
Исправлено в версии : 1.9
Оценка серьезности : низкая
27. API MS Store
Плагин: MStore API
Уязвимость : неаутентифицированная загрузка файла PHP
Исправлено в версии : 3.4.5
Оценка серьезности : критическая
28. Простые цифровые загрузки
Плагин: Easy Digital Downloads
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.11.2.1
Оценка серьезности : высокая
29. Расширенный менеджер доступа
Плагин: Расширенный менеджер доступа
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 6.8.0
Оценка серьезности : низкая
30. Опрос YOP
Плагин: YOP Опрос
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.1.2
Оценка серьезности : средняя
31. Экспорт вложений WP
Плагин: Экспорт вложений WP
Уязвимость : неаутентифицированные сообщения скачать
Исправлено в версии : 0.2.4
Оценка серьезности : высокая
32. Ползунок текста контента в посте
Плагин: Ползунок текста контента в посте
Уязвимость : Аутентифицированный хранимый межсайтовый скриптинг (XSS)
Исправлено в версии : 6.9
Оценка серьезности : средняя
33. Айсграмм
Плагин: Icegram
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 2.0.3
Оценка серьезности : низкая
34. Лучшие ссылки
Плагин: BetterLinks
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.2.6
Оценка серьезности : низкая
35. Изучите тире
Плагин: LearnDash
Уязвимость : загрузка произвольного файла без проверки подлинности
Исправлено в версии : 2.5.4
Оценка серьезности : критическая
36. ИмиджБосс
Плагин: ImageBoss
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 3.0.6
Оценка серьезности : низкая
37. Форматор
Плагин: Форматор
Уязвимость : администратор + хранимый межсайтовый скриптинг
Исправлено в версии : 1.2.4
Оценка серьезности : низкая
38. MPL-издатель
Плагин: MPL-издатель
Уязвимость : Сохраненный межсайтовый скриптинг Admin+
Исправлено в версии : 1.30.4
Оценка серьезности : низкая
39. Элементор
Плагин: Элементор
Уязвимость : межсайтовый скриптинг DOM
Исправлено в версии : 3.1.4
Оценка серьезности : средняя
40. Нахальная социальная акция
Плагин: Sassy Social Share
Уязвимость : отсутствуют элементы управления доступом к внедрению объектов PHP
Исправлено в версии : 3.3.24
Оценка серьезности : средняя
41. Регистр пирога
Плагин: Регистрация пирога
Уязвимость : открытое перенаправление
Исправлено в версии : 3.7.2.4
Оценка серьезности : средняя
42. Расширенные формы
Плагин: Расширенные формы
Уязвимость : подписчик + произвольное обновление адреса электронной почты пользователя через IDOR
Исправлено в версии : 1.6.9
Оценка серьезности : высокая
Плагин: Расширенные формы Pro
Уязвимость : подписчик + произвольное обновление адреса электронной почты пользователя через IDOR
Исправлено в версии : 1.6.9
Оценка серьезности : высокая
43. Импорт демо-версии Catch Themes
Плагин: Импорт демо-версии Catch Themes
Уязвимость : Администратор + загрузка произвольного файла
Исправлено в версии : 1.8
Оценка серьезности : критическая
44. Простая доска объявлений
Плагин: Простая доска объявлений
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 2.9.5
Оценка серьезности : низкая
45. Поиск цвета слоновой кости
Плагин: Поиск цвета слоновой кости
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 4.7
Оценка серьезности : высокая
46. Возрастные ворота
Плагин: Age Gate
Уязвимость : Аутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 2.16.4
Оценка серьезности : критическая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или версия ядра WordPress с известной уязвимостью.
1. Сканирование на наличие известных уязвимостей веб-сайта
Плагин iThemes Security Pro сканирует сайты WordPress по причине №1 взлома: устаревшие плагины и темы с известными уязвимостями.
2. Автоматическое обновление до безопасных версий
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Отслеживайте изменения файлов
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом веб-сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.