Laporan Kerentanan WordPress: Oktober 2021, Bagian 4
Diterbitkan: 2021-10-27Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.
Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.
Kerentanan Inti WordPress
Versi terbaru dari inti WordPress adalah 5.8.1 dirilis sebagai rilis keamanan dan pemeliharaan. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!
Kerentanan Plugin WordPress
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.
1. File Bersama
Plugin: File Bersama
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.6.61
Skor Keparahan : Rendah
2. Pengarah QR
Plugin: Pengarah QR
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.6.1
Skor Keparahan : Sedang
Plugin: Pengarah QR
Kerentanan : Pembaruan Status Respons Pengalihan QR Sewenang-wenang Pelanggan+
Ditambal dalam Versi : 1.6
Skor Keparahan : Sedang
3. Gulir Halus MouseWheel
Plugin: Gulir Halus MouseWheel
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : 5.7
Skor Keparahan : Sedang
4. Sisipkan Halaman
Plugin: Sisipkan Halaman
Kerentanan : Kontributor+ Akses Posting/Halaman Sewenang-wenang
Ditambal dalam Versi : 3.7.0
Skor Keparahan : Sedang
Plugin: Sisipkan Halaman
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 3.7.0
Skor Keparahan : Sedang
5. Pengalihan SEO
Plugin: Pengalihan SEO
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : 8.2
Skor Keparahan : Tinggi
6. Donasi Paypal
Plugin: Donasi Paypal
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.3.2
Skor Keparahan : Rendah
7. Kesan untuk Pialang BEI
Plugin: IMPress untuk Pialang BEI
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.0.6
Skor Keparahan : Tinggi
8. Login JWT Sederhana
Plugin: Login JWT Sederhana
Kerentanan : Pembaruan Pengaturan Sewenang-wenang ke Pengambilalihan Situs melalui CSRF
Ditambal dalam Versi : 3.2.1
Skor Keparahan : Tinggi
9. Tiket Saya
Plugin: Tiket Saya
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : 1.8.31
Skor Keparahan : Tinggi
10. Faktur Klien dengan Faktur Sprout
Plugin: Faktur Klien dengan Faktur Sprout
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 19.9.7
Skor Keparahan : Rendah
11. Log Email
Plugin: Log Email
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 2.4.7
Skor Keparahan : Sedang
12. Penguat Skor Kinerja WP
Penguat Skor Kinerja Plugin WP
Kerentanan : Pengaturan Ubah melalui CSRF
Ditambal dalam Versi : 2.1
Skor Keparahan : Sedang
13. Integrasi Direktori Aktif / Integrasi LDAP
Plugin: Integrasi Direktori Aktif / Integrasi LDAP
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : 3.6.95
Skor Keparahan : Tinggi
14. TableOn
Plugin: TableOn
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.0.1
Skor Keparahan : Sedang
15. Penggeser Gambar Responsif, Galeri Foto, dan Korsel
Plugin: Penggeser Gambar Responsif, Galeri Foto, dan Korsel
Kerentanan : Penggandaan Slider/Simpan/Hapus melalui CSRF
Ditambal dalam Versi : 1.3.2
Skor Keparahan : Sedang
Plugin: Penggeser Gambar Responsif, Galeri Foto, dan Korsel
Kerentanan : Pelanggan + Akses Pos Sewenang-wenang
Ditambal dalam Versi : 1.3.6
Skor Keparahan : Sedang
16. Halaman Peta Situs WP
Plugin: Halaman Peta Situs WP
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.7.0
Skor Keparahan : Rendah
17. Aliran
Plugin: Aliran
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 3.8.2
Skor Keparahan : Sedang
18. Bermanfaat
Plugin: Bermanfaat
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 4.4.59
Skor Keparahan : Rendah
19. LearnPress
Plugin: LearnPress
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 4.1.3.2
Skor Keparahan : Rendah
20. Pementasan Konten
Plugin: Pementasan Konten
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah
21. Paywall Bocor
Plugin: Paywall Bocor
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah
22. Guru LMS
Plugin: Guru LMS
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.9.11
Skor Keparahan : Sedang
23. Etalase Logo dengan Slider Slick
Plugin: Etalase Logo dengan Slider Slick
Kerentanan : Penulis + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.2.4
Skor Keparahan : Sedang
24. Pembuat Formulir yang Tangguh
Plugin: Pembuat Formulir yang Tangguh
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : 4.09.05
Skor Keparahan : Rendah
25. Unduh Plugin
Plugin: Unduh Plugin
Kerentanan : Pelanggan + Aktivasi Plugin Sewenang-wenang
Ditambal dalam Versi : 1.6.1
Skor Keparahan : Sedang
26. Gambar ke WebP
Plugin: Gambar ke WebP
Kerentanan : Pemalsuan Permintaan Beberapa Situs Lintas (CSRF)
Ditambal dalam Versi : 1.9
Skor Keparahan : Sedang
Plugin: Gambar ke WebP
Kerentanan : Penyertaan File Lokal yang Diautentikasi
Ditambal dalam Versi : 1.9
Skor Keparahan : Rendah
27. MSstore API
Plugin: MSstore API
Kerentanan : Unggah File PHP yang Tidak Diautentikasi
Ditambal dalam Versi : 3.4.5
Skor Keparahan : Kritis
28. Unduhan Digital Mudah
Plugin: Unduhan Digital Mudah
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.11.2.1
Skor Keparahan : Tinggi
29. Manajer Akses Tingkat Lanjut
Plugin: Manajer Akses Tingkat Lanjut
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 6.8.0
Skor Keparahan : Rendah
30. Jajak Pendapat YOP
Plugin: Jajak Pendapat YOP
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 6.1.2
Skor Keparahan : Sedang
31. Ekspor Lampiran WP
Plugin: Ekspor Lampiran WP
Kerentanan : Unduhan Postingan yang Tidak Diautentikasi
Ditambal dalam Versi : 0.2.4
Skor Keparahan : Tinggi
32. Penggeser teks konten di pos
Plugin: Penggeser teks konten di pos
Kerentanan : Skrip Lintas Situs Tersimpan Terautentikasi (XSS)
Ditambal dalam Versi : 6.9
Skor Keparahan : Sedang
33. Icegram
Plugin: Icegram
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.0.3
Skor Keparahan : Rendah
34. BetterLinks
Plugin: BetterLinks
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.2.6
Skor Keparahan : Rendah
35. LearnDash
Plugin: LearnDash
Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : 2.5.4
Skor Keparahan : Kritis
36. ImageBoss
Plugin: ImageBoss
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 3.0.6
Skor Keparahan : Rendah
37. Pembentuk
Plugin: Forminator
Kerentanan : Admin + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.2.4
Skor Keparahan : Rendah
38. Penerbit MPL
Plugin: Penerbit MPL
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.30.4
Skor Keparahan : Rendah
39. Elemen
Plugin: Elementor
Kerentanan : DOM Cross Site Scripting
Ditambal dalam Versi : 3.1.4
Skor Keparahan : Sedang
40. Berbagi Sosial Sassy
Plugin: Berbagi Sosial Sassy
Kerentanan : Kontrol Akses Hilang ke PHP Object Injection
Ditambal dalam Versi : 3.3.24
Skor Keparahan : Sedang
41. Daftar Pai
Plugin: Daftar Pai
Kerentanan : Open Redirect
Ditambal dalam Versi : 3.7.2.4
Skor Keparahan : Sedang
42. Formulir Lanjutan
Plugin: Formulir Lanjutan
Kerentanan : Pembaruan Alamat Email Pelanggan+ Pengguna Sewenang-wenang melalui IDOR
Ditambal dalam Versi : 1.6.9
Skor Keparahan : Tinggi
Plugin: Formulir Lanjutan Pro
Kerentanan : Pembaruan Alamat Email Pelanggan+ Pengguna Sewenang-wenang melalui IDOR
Ditambal dalam Versi : 1.6.9
Skor Keparahan : Tinggi
43. Impor Demo Tangkap Tema
Plugin: Impor Demo Tangkap Tema
Kerentanan : Admin+ Upload File Sewenang-wenang
Ditambal dalam Versi : 1.8
Skor Keparahan : Kritis
44. Papan Pekerjaan Sederhana
Plugin: Papan Pekerjaan Sederhana
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.9.5
Skor Keparahan : Rendah
45. Pencarian Gading
Plugin: Pencarian Gading
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 4.7
Skor Keparahan : Tinggi
46. Gerbang Usia
Plugin: Gerbang Usia
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.16.4
Skor Keparahan : Kritis
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.
1. Pindai Kerentanan Situs Web yang Diketahui
Plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui.
2. Perbarui Otomatis ke Versi Aman
Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.
3. Pantau Perubahan File
Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.
Dapatkan iThemes Security Pro dengan Pemantauan Situs Web 24/7
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.