รายงานช่องโหว่ของ WordPress: เมษายน 2021 ตอนที่ 4

เผยแพร่แล้ว: 2021-04-28

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานนี้ครอบคลุมถึงช่องโหว่ของปลั๊กอิน ธีม และแกนหลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การจัดระดับความรุนแรงขึ้นอยู่กับระบบการให้คะแนนช่องโหว่ทั่วไป

ในเดือนเมษายน ตอนที่ 4 รายงาน
    รับ iThemes Security WordPress Vulnerability Report ที่ส่งไปยังกล่องจดหมายของคุณ
    ลงทะเบียนเพื่อรับรายงาน

    ช่องโหว่หลักของ WordPress

    WordPress 5.7.1 เปิดตัวเมื่อวันที่ 15 เมษายน 2021 รุ่นการรักษาความปลอดภัยและการบำรุงรักษานี้มีการแก้ไขจุดบกพร่อง 26 รายการ นอกเหนือจากการแก้ไขความปลอดภัยสองรายการ เนื่องจากเป็นการ เปิดตัวด้านความปลอดภัย ของ WordPress core ขอแนะนำให้คุณอัปเดตไซต์ของคุณทันที!

    ช่องโหว่ของปลั๊กอิน WordPress

    1. หีบเพลง

    ช่องโหว่ : Authenticated Reflected Cross-Site Scripting
    แพตช์ ในเวอร์ชัน : 2.2.30
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.2.30+

    2. RSS สำหรับ Yandex Turbo

    ช่องโหว่ : Authenticated Stored Cross-Site Scripting
    แพทช์ในเวอร์ชัน : 1.30
    ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.30+

    3. ส่วนเสริม Kaswara Modern VC

    ช่องโหว่ : Unauthenticated Arbitrary File Upload
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    4. การป้องกันการคัดลอกเนื้อหา WP & ไม่มีการคลิกขวา

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพตช์ในเวอร์ชัน : 3.4
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพตช์ในเวอร์ชัน : 3.5.1
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.5.1+

    5. Mailer การตลาดแบบมีเงื่อนไขสำหรับ WooCommerce

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพตช์ในเวอร์ชัน : 1.6
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพตช์ในเวอร์ชัน : 1.5.2
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.6+

    6. Captchinoo, Google recaptcha สำหรับหน้าเข้าสู่ระบบผู้ดูแลระบบ

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    7. โหมดการบำรุงรักษา WP & ไซต์อยู่ระหว่างการก่อสร้าง

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    8. แผนผังเว็บไซต์ต้นไม้

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    9. การป้องกันการเข้าสู่ระบบ – จำกัดการพยายามเข้าสู่ระบบล้มเหลว

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    10. สถิติการเข้าชมแบบเรียลไทม์ของผู้เข้าชม

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพตช์ในเวอร์ชัน : 2.13
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพตช์ในเวอร์ชัน : 2.12
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.13+

    11. เข้าสู่ระบบในฐานะผู้ใช้หรือลูกค้า

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via CSRF
    แพตช์ในเวอร์ชัน : 2.1
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    ช่องโหว่ : Arbitrary Plugin Installation/Activation via Low Privilege User
    แพตช์ในเวอร์ชัน : 1.8
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.1+

    12. เปลี่ยนเส้นทาง 404 ไปยังผู้ปกครอง

    ช่องโหว่ : Reflected Cross-Site Scripting
    แพตช์ในเวอร์ชัน : 1.3.1
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.3.1+

    13. เลือกหมวดหมู่และอนุกรมวิธานทั้งหมด

    ช่องโหว่ : Reflected Cross-Site Scripting
    แพตช์ในเวอร์ชัน : 1.3.2
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.3.2+

    14. Software License Manager

    ช่องโหว่ : CSRF ไปยัง XSS . ที่จัดเก็บไว้
    แพตช์ในเวอร์ชัน : 4.4.6
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 4.4.6+

    15. ผู้ขายรถยนต์ – สคริปต์แยกประเภทรถยนต์

    ช่องโหว่ : Unauthenticated SQL Injection
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : วิกฤต – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    16. ตัวระบุตำแหน่งร้าน Plus

    ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    17. Happy Addons สำหรับ Elementor ฟรี & Pro

    ช่องโหว่ : Stored Cross-Site Scripting
    แพตช์ ฟรี ในเวอร์ชัน : 2.24.0
    Pro Patched ในเวอร์ชัน : 1.17.0
    ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.24.0+ (ฟรี) / 1.17.0+ (Pro)

    18. WP แคชที่เร็วที่สุด

    โลโก้แคช WP ที่เร็วที่สุด

    ช่องโหว่ : Authenticated Arbitrary File Delete ผ่าน Path Traversal
    แพตช์ ในเวอร์ชัน : 0.9.1.7
    ความรุนแรง : ต่ำ – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 0.9.1.7+

    19. WPGraphQL

    ช่องโหว่ : การปฏิเสธการให้บริการ
    แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
    ความรุนแรง : สูง – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

    20. WooCommerce

    ช่องโหว่ : Authenticated Stored Cross-Site Scripting
    แพตช์ในเวอร์ชัน : 5.2.0
    ความรุนแรง : ปานกลาง – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 5.2.0+

    ช่องโหว่ของธีม WordPress

    ไม่มีการเปิดเผยช่องโหว่ของธีมใหม่ในสัปดาห์นี้

    ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

    iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

    รับ iThemes Security Pro