تقرير ثغرات WordPress: أكتوبر 2021 ، الجزء 4

المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.

يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.

تم إصدار أحدث إصدار من WordPress core 5.8.1 كإصدار للأمان والصيانة. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!

في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.

1. الملفات المشتركة

البرنامج المساعد: الملفات المشتركة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.6.61
درجة الخطورة : منخفضة

2. QR معيد التوجيه

البرنامج المساعد: QR Redirector
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.6.1
درجة الخطورة : متوسطة

البرنامج المساعد: QR Redirector
الثغرة الأمنية : المشترك + تحديث حالة استجابة إعادة توجيه QR التعسفي
مصححة في الإصدار : 1.6
درجة الخطورة : متوسطة

3. تمرير عجلة الماوس السلس

البرنامج المساعد: MouseWheel Smooth Scroll
الثغرة الأمنية : تحديث إعداد البرنامج المساعد عبر CSRF
مصححة في الإصدار : 5.7.1
درجة الخطورة : متوسطة

4. أدخل الصفحات

البرنامج المساعد: إدراج الصفحات
الضعف : مساهم + المشاركات التعسفية / الوصول إلى الصفحات
مصححة في الإصدار : 3.7.0
درجة الخطورة : متوسطة

البرنامج المساعد: إدراج الصفحات
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.7.0
درجة الخطورة : متوسطة

5. إعادة توجيه SEO

البرنامج المساعد: إعادة توجيه SEO
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 8.2
درجة الخطورة : مرتفع

6. تبرع باي بال

البرنامج المساعد: Paypal Donation
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.3.2
درجة الخطورة : منخفضة

7. IMPress لـ IDX Broker

البرنامج المساعد: IMPress for IDX Broker
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.0.6
درجة الخطورة : مرتفع

8. تسجيل دخول بسيط إلى JWT

البرنامج المساعد: Simple JWT Login
الثغرة الأمنية : تحديث الإعدادات التعسفي للاستيلاء على الموقع عبر CSRF
مصححة في الإصدار : 3.2.1
درجة الخطورة : مرتفع

9. التذاكر الخاصة بي

البرنامج المساعد: التذاكر الخاصة بي
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 1.8.31
درجة الخطورة : مرتفع

10. فواتير العميل عن طريق فواتير Sprout

البرنامج المساعد: فواتير العميل عن طريق فواتير Sprout
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 19.9.7
درجة الخطورة : منخفضة

11. سجل البريد الإلكتروني

البرنامج المساعد: سجل البريد الإلكتروني
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 2.4.7
درجة الخطورة : متوسطة

12. WP Performance Score Booster

البرنامج المساعد WP Performance Score Booster
الثغرة الأمنية : تغيير الإعدادات عبر CSRF
مصححة في الإصدار : 2.1
درجة الخطورة : متوسطة

13. تكامل الدليل النشط / تكامل LDAP

البرنامج المساعد: Active Directory Integration / LDAP Integration
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 3.6.95
درجة الخطورة : مرتفع

14. TableOn

البرنامج المساعد: TableOn
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.0.1
درجة الخطورة : متوسطة

15. شريط تمرير الصور المتجاوب ومعرض الصور والعرض الدائري

البرنامج المساعد: شريط تمرير الصور المتجاوب ومعرض الصور والعرض الدائري
الثغرة الأمنية : Slider Clone / Save / Delete عبر CSRF
مصححة في الإصدار : 1.3.2
درجة الخطورة : متوسطة

البرنامج المساعد: شريط تمرير الصور المتجاوب ومعرض الصور والعرض الدائري
الضعف : المشترك + الوصول التعسفي للبريد
مصححة في الإصدار : 1.3.6
درجة الخطورة : متوسطة

16. صفحة خريطة موقع WP

البرنامج المساعد: WP Sitemap Page
الثغرة الأمنية : المسؤول + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : 1.7.0
درجة الخطورة : منخفضة

17. تيار

البرنامج المساعد: تيار
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 3.8.2
درجة الخطورة : متوسطة

18. مفيد

البرنامج المساعد: مفيد
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 4.4.59
درجة الخطورة : منخفضة

19. LearnPress

البرنامج المساعد: LearnPress
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 4.1.3.2
درجة الخطورة : منخفضة

20. المحتوى التدريج

البرنامج المساعد: Content Staging
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة

21. متسرب Paywall

البرنامج المساعد: Leaky Paywall
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : منخفضة

22. المعلم LMS

البرنامج المساعد: Tutor LMS
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.9.11
درجة الخطورة : متوسطة

23. عرض الشعار مع المنزلق البقعة

البرنامج المساعد: Logo Showcase with Slick Slider
الضعف : المؤلف + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : 1.2.4
درجة الخطورة : متوسطة

24. منشئ النموذج الهائل

البرنامج المساعد: منشئ النموذج الهائل
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 4.09.05
درجة الخطورة : منخفضة

25. تحميل البرنامج المساعد

البرنامج المساعد: تنزيل البرنامج المساعد
الضعف : المشترك + تنشيط البرنامج المساعد التعسفي
مصححة في الإصدار : 1.6.1
درجة الخطورة : متوسطة

26. الصور إلى WebP

البرنامج المساعد: صور إلى WebP
الثغرة الأمنية : تزوير طلبات متعددة عبر المواقع (CSRF)
مصححة في الإصدار : 1.9.1
درجة الخطورة : متوسطة

البرنامج المساعد: صور إلى WebP
الثغرة الأمنية : تضمين ملف محلي مصدق عليه
مصححة في الإصدار : 1.9.1
درجة الخطورة : منخفضة

27. MStore API

البرنامج المساعد: MStore API
الثغرة الأمنية : تحميل ملف PHP غير مصدق
مصححة في الإصدار : 3.4.5
درجة الخطورة : حرجة

28. التنزيلات الرقمية سهلة

البرنامج المساعد: تنزيلات رقمية سهلة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.11.2.1
درجة الخطورة : مرتفع

29. إدارة الوصول المتقدم

البرنامج المساعد: مدير الوصول المتقدم
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 6.8.0
درجة الخطورة : منخفضة

30. استطلاع YOP

البرنامج المساعد: استطلاع YOP
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 6.1.2
درجة الخطورة : متوسطة

31. WP Attachment Export

البرنامج المساعد: WP Attachment Export
الثغرة الأمنية : تنزيل المشاركات غير المصادق عليها
مصححة في الإصدار : 0.2.4
درجة الخطورة : مرتفع

32. شريط تمرير نص المحتوى على المنشور

البرنامج المساعد: شريط تمرير نص المحتوى على المنشور
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : 6.9.1
درجة الخطورة : متوسطة

33. Icegram

البرنامج المساعد: Icegram
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.0.3
درجة الخطورة : منخفضة

34. BetterLinks

البرنامج المساعد: BetterLinks
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.2.6
درجة الخطورة : منخفضة

35. LearnDash

البرنامج المساعد: LearnDash
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق
مصححة في الإصدار : 2.5.4
درجة الخطورة : حرجة

36. ImageBoss

البرنامج المساعد: ImageBoss
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.0.6
درجة الخطورة : منخفضة

37. المنسق

البرنامج المساعد: المنسق
الثغرة الأمنية : المسؤول + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : 1.2.4
درجة الخطورة : منخفضة

38. MPL-Publisher

البرنامج المساعد: MPL-Publisher
الثغرة الأمنية : المسؤول + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : 1.30.4
درجة الخطورة : منخفضة

39. العنصر

البرنامج المساعد: العنصر
الضعف : برمجة المواقع عبر DOM
مصححة في الإصدار : 3.1.4
درجة الخطورة : متوسطة

40. وقح حصة الاجتماعية

البرنامج المساعد: Sassy Social Share
الثغرة الأمنية : ضوابط الوصول مفقودة إلى حقن كائن PHP
مصححة في الإصدار : 3.3.24
درجة الخطورة : متوسطة

41. سجل الفطيرة

البرنامج المساعد: تسجيل الفطيرة
الثغرة الأمنية : فتح إعادة التوجيه
مصححة في الإصدار : 3.7.2.4
درجة الخطورة : متوسطة

42. نماذج متقدمة

البرنامج المساعد: نماذج متقدمة
الثغرة الأمنية : المشترك + تحديث عشوائي لعنوان البريد الإلكتروني للمستخدم عبر IDOR
مصححة في الإصدار : 1.6.9
درجة الخطورة : مرتفع

البرنامج المساعد: Advanced Forms Pro
الثغرة الأمنية : المشترك + تحديث عشوائي لعنوان البريد الإلكتروني للمستخدم عبر IDOR
مصححة في الإصدار : 1.6.9
درجة الخطورة : مرتفع

43. قبض على ثيمات العرض التجريبي

البرنامج المساعد: Catch Themes Demo Import
الثغرة الأمنية : المسؤول + تحميل الملف التعسفي
مصححة في الإصدار : 1.8.1
درجة الخطورة : حرجة

44. لوحة عمل بسيطة

البرنامج المساعد: لوحة عمل بسيطة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.9.5
درجة الخطورة : منخفضة

45. بحث من العاج

البرنامج المساعد: البحث العاجي
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 4.7.1
درجة الخطورة : مرتفع

46. ​​بوابة العمر

البرنامج المساعد: بوابة العمر
الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة ومصادق عليها
مصححة في الإصدار : 2.16.4
درجة الخطورة : حرجة

كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.

احصل على iThemes Security Pro مع مراقبة مواقع الويب على مدار الساعة طوال أيام الأسبوع

يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro