รายงานช่องโหว่ของ WordPress: เมษายน 2021 ตอนที่ 4
เผยแพร่แล้ว: 2021-04-28ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานนี้ครอบคลุมถึงช่องโหว่ของปลั๊กอิน ธีม และแกนหลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การจัดระดับความรุนแรงขึ้นอยู่กับระบบการให้คะแนนช่องโหว่ทั่วไป
ช่องโหว่หลักของ WordPress
WordPress 5.7.1 เปิดตัวเมื่อวันที่ 15 เมษายน 2021 รุ่นการรักษาความปลอดภัยและการบำรุงรักษานี้มีการแก้ไขจุดบกพร่อง 26 รายการ นอกเหนือจากการแก้ไขความปลอดภัยสองรายการ เนื่องจากเป็นการ เปิดตัวด้านความปลอดภัย ของ WordPress core ขอแนะนำให้คุณอัปเดตไซต์ของคุณทันที!
ช่องโหว่ของปลั๊กอิน WordPress
1. หีบเพลง

ช่องโหว่ : Authenticated Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.2.30
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. RSS สำหรับ Yandex Turbo

ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : 1.30
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. ส่วนเสริม Kaswara Modern VC
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. การป้องกันการคัดลอกเนื้อหา WP & ไม่มีการคลิกขวา

ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพตช์ในเวอร์ชัน : 3.4
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพตช์ในเวอร์ชัน : 3.5.1
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. Mailer การตลาดแบบมีเงื่อนไขสำหรับ WooCommerce

ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพตช์ในเวอร์ชัน : 1.6
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพตช์ในเวอร์ชัน : 1.5.2
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha สำหรับหน้าเข้าสู่ระบบผู้ดูแลระบบ
ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. โหมดการบำรุงรักษา WP & ไซต์อยู่ระหว่างการก่อสร้าง
ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. แผนผังเว็บไซต์ต้นไม้
ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. การป้องกันการเข้าสู่ระบบ – จำกัดการพยายามเข้าสู่ระบบล้มเหลว
ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. สถิติการเข้าชมแบบเรียลไทม์ของผู้เข้าชม

ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพตช์ในเวอร์ชัน : 2.13
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพตช์ในเวอร์ชัน : 2.12
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. เข้าสู่ระบบในฐานะผู้ใช้หรือลูกค้า

ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
แพตช์ในเวอร์ชัน : 2.1
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
แพตช์ในเวอร์ชัน : 1.8
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. เปลี่ยนเส้นทาง 404 ไปยังผู้ปกครอง

ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.1
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. เลือกหมวดหมู่และอนุกรมวิธานทั้งหมด
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.2
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Software License Manager

ช่องโหว่ : CSRF ไปยัง XSS . ที่จัดเก็บไว้
แพตช์ในเวอร์ชัน : 4.4.6
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. ผู้ขายรถยนต์ – สคริปต์แยกประเภทรถยนต์
ช่องโหว่ : Unauthenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. ตัวระบุตำแหน่งร้าน Plus
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Happy Addons สำหรับ Elementor ฟรี & Pro

ช่องโหว่ : Stored Cross-Site Scripting
แพตช์ ฟรี ในเวอร์ชัน : 2.24.0
Pro Patched ในเวอร์ชัน : 1.17.0
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP แคชที่เร็วที่สุด

ช่องโหว่ : Authenticated Arbitrary File Delete ผ่าน Path Traversal
แพตช์ ในเวอร์ชัน : 0.9.1.7
ความรุนแรง : ต่ำ – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
ช่องโหว่ : การปฏิเสธการให้บริการ
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. WooCommerce

ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.2.0
ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
ช่องโหว่ของธีม WordPress
ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
รับ iThemes Security Pro
ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน
