Laporan Kerentanan WordPress: Oktober 2021, Bagian 3

Diterbitkan: 2021-10-21

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Isi Laporan 20 Oktober 2021
    Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
    Berlangganan email mingguan

    Kerentanan Inti WordPress

    Versi terbaru dari inti WordPress adalah 5.8.1 dirilis sebagai rilis keamanan dan pemeliharaan. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

    Kerentanan Plugin WordPress

    Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

    1. WPSchoolPress

    Plugin: WPSchoolPress
    Kerentanan : Beberapa Admin + Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 2.1.17
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.17.

    Plugin: WPSchoolPress
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2.1.10
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.10.

    Plugin: WPSchoolPress
    Kerentanan : Beberapa Injeksi SQL Terautentikasi
    Ditambal dalam Versi : 2.1.10
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.10.

    2. Multi Vendor YITH WooCommerce

    Plugin: Squaretype MYITH WooCommerce Multi Vendor
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.8.1
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.8.1.

    3. Print-O-Matic

    Plugin: Print-O-Matic
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 2.0.3
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.3.

    4. Daftar Pai

    Plugin: Daftar Pai
    Kerentanan : Injeksi SQL Tidak Diautentikasi
    Ditambal dalam Versi : 3.7.1.6
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.7.1.6.

    Plugin: Daftar Pai
    Kerentanan : Injeksi SQL Tidak Diautentikasi
    Ditambal dalam Versi : 3.7.1.6
    Skor Keparahan : Kritis

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.7.1.6.

    5. Afiliasi Kupon untuk WooCommerce

    Plugin: Afiliasi Kupon untuk WooCommerce
    Kerentanan : Penghapusan Kunjungan Rujukan Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 4.11.3.4
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.11.3.4.

    6. Pemuat MAZ

    Plugin: Pemuat MAZ
    Kerentanan : Kontributor+ Injeksi SQL
    Ditambal dalam Versi : 1.3.3
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.3.

    7. Teks Footer Etalase

    Plugin: Teks Footer Storefront
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Sedang

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 6 Oktober 2021. Copot pemasangan dan hapus.

    8. Alat Kuis Lite

    Plugin: Alat Kuis Lite
    Kerentanan : Beberapa Admin + Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 28 September 2021. Copot pemasangan dan hapus.

    9. Kartu Qwiz

    Plugin: Qwizcards
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 3.62
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.62.

    10. Loco Terjemahkan

    Plugin: Loco Translate
    Kerentanan : Injeksi Kode PHP yang Diautentikasi
    Ditambal dalam Versi : 2.5.4
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.5.4.

    11. iPanorama 360 WordPress Virtual Tour Builder

    Plugin: iPanorama 360 WordPress Virtual Tour Builder
    Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.6.22
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.22.

    12. Visi Interaktif Untuk WordPress

    Plugin: Vision Interactive Untuk WordPress
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    13. Pembuat Gambar Interaktif ImageLinks untuk WordPress

    Plugin: ImageLinks Interactive Image Builder untuk WordPress
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    14. WordPress Easy Custom Js Dan Css Plugin

    Plugin: WordPress Easy Custom Js Dan Css Plugin
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    15. iPages Flipbook Untuk WordPress

    Plugin: iPages Flipbook Untuk WordPress
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.4.3
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.3.

    16. 404 hingga 301

    Plugin: 404 hingga 301
    Kerentanan : Penghapusan Log melalui CSRF
    Ditambal dalam Versi : 3.0.9
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.9.

    17. Post Expirator

    Plugin: Post Expirator
    Kerentanan : Kontributor+ Jadwal Postingan Sewenang-wenang
    Ditambal dalam Versi : 2.6.0
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.22.

    18. Gambar Header WP

    Plugin: Gambar Header WP
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2.0.1
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.1.

    19. Langganan & Keanggotaan untuk PayPal

    Plugin: Langganan & Keanggotaan untuk PayPal
    Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 30 September 2021. Copot pemasangan dan hapus.

    20. Terima Donasi dengan PayPal

    Plugin: Terima Donasi dengan PayPal
    Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
    Ditambal dalam Versi : 1.3.1
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.1.

    21. Acara PayPal

    Plugin: Acara PayPal
    Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 30 September 2021. Copot pemasangan dan hapus.

    22. Manajer Kode Header Footer

    Plugin: Manajer Kode Header Footer
    Kerentanan : Admin+ Suntikan SQL
    Ditambal dalam Versi : 1.1.14
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.14.

    23. wpDiscuz

    Plugin: wpDiscuz
    Kerentanan : Penambahan/Edisi/Penghapusan Komentar Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 7.3.4
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.3.4.

    24. Cetak 3D Lite

    Plugin: 3D Print Lite
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.9.1.6
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.9.1.6.

    25. Forum Asgaros

    Plugin: Forum Asgaros
    Kerentanan : Penghapusan Pengalihan melalui CSRF
    Ditambal dalam Versi : 1.15.13
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.15.13.

    26. WP SEO Redirect 301

    Plugin: WP SEO Redirect 301
    Kerentanan : Penghapusan Pengalihan melalui CSRF
    Ditambal dalam Versi : 2.3.2
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.3.2.

    27. WCFM – Manajer Frontend untuk WooCommerce

    Plugin: WCFM – Manajer Frontend untuk WooCommerce
    Kerentanan : Pelanggan/Pelanggan+ Injeksi SQL
    Ditambal dalam Versi : 6.5.12
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.5.12.

    28. Manajer Afiliasi

    Plugin: Manajer Afiliasi
    Kerentanan : Admin+ Suntikan SQL
    Ditambal dalam Versi : 2.8.7
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.8.7.

    29. Postingan Serupa

    Plugin: Postingan Serupa
    Kerentanan : Admin+ Eksekusi Kode PHP Sewenang-wenang
    Ditambal dalam Versi : 3.1.6
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.1.6.

    30. Tabel Produk WooCommerce

    Plugin: Tabel Produk WooCommerce
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.0.4
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.4.

    31. Manajer Diskon untuk Produk

    Plugin: Manajer Diskon untuk Produk
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.4.5
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.4.5.

    32. Pembuat Kesaksian

    Plugin: Pembuat Kesaksian
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.6.0
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.0.

    33. Brizy

    Plugin: Brizy
    Kerentanan : Otorisasi yang Salah untuk Memposting Modifikasi
    Ditambal dalam Versi : 2.3.12
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.3.12.

    Plugin: Brizy
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 2.3.12
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.3.12.

    Plugin: Brizy
    Kerentanan : Unggah File Terautentikasi dan Lintasan Jalur
    Ditambal dalam Versi : 2.3.12
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.3.12.

    34. Kategori Warna-warni

    Plugin: Kategori Warna-warni
    Kerentanan : Pembaruan Warna Sewenang-wenang melalui CSRF
    Ditambal dalam Versi : 2.0.15
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.15.

    35. WP Cache Tercepat

    Plugin: WP Cache Tercepat
    Kerentanan : Pelanggan+ Injeksi SQL
    Ditambal dalam Versi : 0.9.5
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.9.5.

    Plugin: WP Cache Tercepat
    Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 0.9.5
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.9.5.

    36. Manajer Bisnis

    Plugin: Manajer Bisnis
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    37. Papan Pekerjaan Vanila

    Plugin: Papan Pekerjaan Vanila
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    38. Daftar Pekerjaan WpGenius

    Plugin: Daftar Pekerjaan WpGenius
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    39. Manajer Pekerjaan

    Plugin: Manajer Pekerjaan
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    40. Portal Pekerjaan

    Plugin: Portal Pekerjaan
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    41. Cross-Poster MyBB

    Plugin: MyBB Cross-Poster
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    42. Pemberitahuan Admin KJM

    Plugin: Pemberitahuan Admin KJM
    Kerentanan : Otorisasi yang Salah untuk Memposting Modifikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Oktober 2021. Copot pemasangan dan hapus.

    43. HAL

    Plugin: HAL
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 2.2
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.

    44. Kotak Bio Penulis

    Plugin: Penulis Bio Box
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 3.4.0
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.4.0.

    45. WordPress + Microsoft Office 365

    Plugin: WordPress + Microsoft Office 365
    Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
    Ditambal dalam Versi : 15.4
    Skor Keparahan : Kritis

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 15.4.

    46. ​​Jajak Pendapat YOP

    Plugin: Jajak Pendapat YOP
    Kerentanan : Penulis + Skrip Lintas Situs yang Disimpan melalui Modul Opsi
    Ditambal dalam Versi : 6.3.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.3.1.

    Plugin: Jajak Pendapat YOP
    Kerentanan : Penulis + Skrip Lintas Situs yang Disimpan melalui Modul Pratinjau
    Ditambal dalam Versi : 6.3.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.3.1.

    47. Memang Job Importir

    Plugin: Memang Job Importir
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 14 Oktober 2021. Copot pemasangan dan hapus.

    48. Penerbit MPL – Terbitkan sendiri buku & ebook Anda

    Plugin: MPL-Publisher – Terbitkan sendiri buku & ebook Anda
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    49. JobBoardWP

    Plugin: JobBoardWP
    Kerentanan : Otorisasi yang Salah untuk Memposting Modifikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 14 Oktober 2021. Copot pemasangan dan hapus.

    Kerentanan Tema WordPress

    1. Blog Modern Squaretype

    Tema: Blog Modern Squaretype
    Kerentanan : Pengungkapan Postingan Pribadi/Jadwal Tidak Diautentikasi
    Ditambal dalam Versi : 3.0.4
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.4.

    Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

    Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

    1. Pindai Setiap Hari untuk Kerentanan Situs Web yang Diketahui

    Plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui.

    2. Perbarui Otomatis ke Versi Aman

    Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

    3. Pantau Perubahan File

    Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

    Dapatkan iThemes Security Pro dengan Pemantauan Situs Web 24/7

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    • Pemindai situs untuk kerentanan plugin dan tema
    • Deteksi perubahan file
    • Dasbor keamanan situs web waktu nyata
    • Log keamanan WordPress
    • Perangkat tepercaya
    • reCAPTCHA
    • Perlindungan kekerasan
    • Otentikasi dua faktor
    • Tautan masuk ajaib
    • Peningkatan hak istimewa
    • Pemeriksaan & penolakan kata sandi yang disusupi

    Dapatkan iThemes Keamanan Pro