รายงานช่องโหว่ของ WordPress: เมษายน 2021 ตอนที่ 3

เผยแพร่แล้ว: 2021-04-22

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก โพสต์นี้ครอบคลุมถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และจะทำอย่างไรหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การจัดระดับความรุนแรงขึ้นอยู่กับระบบการให้คะแนนช่องโหว่ทั่วไป

ในเดือนเมษายน ส่วนที่ 3 รายงาน

ช่องโหว่หลักของ WordPress

WordPress 5.7.1 เปิดตัวเมื่อวันที่ 15 เมษายน 2021 รุ่นการรักษาความปลอดภัยและการบำรุงรักษานี้มีการแก้ไขจุดบกพร่อง 26 รายการนอกเหนือจากการแก้ไขความปลอดภัยสองรายการ เนื่องจากเป็นการ เปิดตัวด้านความปลอดภัย ของ WordPress core ขอแนะนำให้คุณอัปเดตไซต์ของคุณทันที!

1. WordPress 5.6 – 5.7

ช่องโหว่ : Authenticated XXE ภายใน Media Library ที่มีผลกับ PHP 8
แพตช์ในเวอร์ชัน : 5.7
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดต WordPress core เป็น 5.7.1+

2. WordPress 4.7-5.7

ช่องโหว่ : Authenticated Password Protected Pages Exposure
แพตช์ในเวอร์ชัน : 5.7
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดต WordPress core เป็น 5.7.1+

ช่องโหว่ของปลั๊กอิน WordPress

1. โปรแกรมเสริม Livemesh สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 6.8
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 6.8+

2. HT Mega – ส่วนเสริมแอบโซลูทสำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.5.7
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.5.7+

3. WooLentor – ส่วนเสริมองค์ประกอบ WooCommerce

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.8.6
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.8.6+

4. BuddyPress

ช่องโหว่ : ช่องโหว่ REST API ที่ผ่านการตรวจสอบสิทธิ์แล้วหลายรายการ
แพตช์ในเวอร์ชัน : 7.3.0
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 7.3.0+

5. โปรแกรมเสริม PowerPack สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.3.2
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.3.2+

6. เอฟเฟกต์โฮเวอร์รูปภาพ - องค์ประกอบเสริม

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.3.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.3.4+

7. ส่วนขยายและเทมเพลต Rife Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.1.6
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.1.6+

8. Addons Plus สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.0.6
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.0.6+

9. All-in-One Addons สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.3.10
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.3.10

10. JetWidgets สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แก้ไขในเวอร์ชัน :
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 6.8+

11. Sina Extension สำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 3.3.12
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.3.12+

12. สุดยอดโปรแกรมเสริมสำหรับ Elementor

ช่องโหว่ : Stored Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 1.30.0
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.30.0+

13. เครื่องคิดเลขฟิตเนส

ช่องโหว่ : การปลอมแปลงคำขอข้ามไซต์ไปยังการเขียนสคริปต์ข้ามไซต์
แพตช์ในเวอร์ชัน : 1.9.6
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.9.6+

14. ตัวจัดการการเข้าถึงสิทธิ์ของผู้ใช้

ช่องโหว่ : การควบคุมการเข้าถึงที่ไม่เหมาะสม
แพตช์ในเวอร์ชัน : 1.0.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.0.4+

15. ส่วนเสริมที่ชาญฉลาดสำหรับ Elementor

ช่องโหว่ : จัดเก็บสคริปต์ข้ามไซต์ XSS
แพตช์ในเวอร์ชัน : 2.1.0
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.1.0+

16. ดาวน์โหลดดิจิทัลอย่างง่าย

ช่องโหว่ : Unauthorized Stripe Disconnect ผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.10.3
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.10.3+

17. สะพานเอ็ดไวเซอร์

ช่องโหว่ : CSRF Nonce Bypass
แพตช์ในเวอร์ชัน : 2.0.7
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.0.7+

18. WordPress Download Manager

ช่องโหว่ : ทำซ้ำการดาวน์โหลดโดยไม่ได้รับอนุญาต
แพตช์ ในเวอร์ชัน : 3.1.18
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.1.18+

19. แผนที่ขั้นสูงโดย Supsystic

ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.5
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.2.5+

20. ป๊อปอัปโดย Supsystic

ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.10.5
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.10.5+

21. แกลอรี่รูปภาพโดย 10Web

ช่องโหว่ : Multiple Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.5.69
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.5.69+

22. การเปลี่ยนเส้นทางสำหรับแบบฟอร์มการติดต่อ 7

ช่องโหว่ : Unauthenticated Arbitrary Nonce Generation
แพตช์ในเวอร์ชัน : 2.3.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

ช่องโหว่ : Authenticated Arbitrary Plugin Installation
แพตช์ในเวอร์ชัน : 2.3.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

ช่องโหว่ : Authenticated PHP Object Injection
แพตช์ในเวอร์ชัน : 2.3.4
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

ช่องโหว่ : Authenticated Arbitrary Post Delete
แพตช์ในเวอร์ชัน : 2.3.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

ช่องโหว่ : การกระทำ AJAX ที่ไม่มีการป้องกัน
แพตช์ในเวอร์ชัน : 2.3.4
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.3.4+

ช่องโหว่ของธีม WordPress

ไม่มีการเปิดเผยช่องโหว่ของธีมใหม่ในสัปดาห์นี้

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน