Raport podatności WordPressa: październik 2021, część 3

Opublikowany: 2021-10-21

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Treść Raportu z 20 października 2021 r.
    Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
    Zapisz się do cotygodniowego e-maila

    Główne luki w WordPressie

    Najnowsza wersja rdzenia WordPress to 5.8.1 została wydana jako wydanie zabezpieczające i konserwacyjne. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

    Luki w zabezpieczeniach wtyczki WordPress

    W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

    1. WPSschoolPress

    Wtyczka: WPSchoolPress
    Luka w zabezpieczeniach: wielu administratorów + przechowywane skrypty między witrynami
    Łatka w wersji : 2.1.17
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.17.

    Wtyczka: WPSchoolPress
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Łatka w wersji : 2.1.10
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.10.

    Wtyczka: WPSchoolPress
    Luka w zabezpieczeniach : wiele uwierzytelnionych wstrzyknięć SQL
    Łatka w wersji : 2.1.10
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.10.

    2. YITH WooCommerce Multi Vendor

    Wtyczka: Squaretype MYITH WooCommerce Multi Vendor
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Łatka w wersji : 3.8.1
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.8.1.

    3. Print-O-Matic

    Wtyczka: Print-O-Matic
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Łatka w wersji : 2.0.3
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.3.

    4. Rejestr ciast

    Wtyczka: Rejestr kołowy
    Luka : nieuwierzytelniony wstrzyknięcie SQL
    Łatka w wersji : 3.7.1.6
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.7.1.6.

    Wtyczka: Rejestr kołowy
    Luka : nieuwierzytelniony wstrzyknięcie SQL
    Łatka w wersji : 3.7.1.6
    Ocena ważności : krytyczna

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.7.1.6.

    5. Partnerzy kuponów dla WooCommerce

    Wtyczka: Partnerzy kuponów dla WooCommerce
    Luka w zabezpieczeniach: usunięcie arbitralnych wizyt polecających za pośrednictwem CSRF
    Łatka w wersji : 4.11.3.4
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.11.3.4.

    6. Ładowarka MAZ

    Wtyczka: MAZ Loader
    Luka w zabezpieczeniach : Contributor+ SQL Injection
    Łatka w wersji : 1.3.3
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.3.

    7. Tekst w stopce witryny sklepowej

    Wtyczka: Tekst w stopce witryny sklepowej
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ważności : średni

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 6 października 2021 r. Odinstaluj i usuń.

    8. Narzędzie Quiz Lite

    Wtyczka: Quiz Tool Lite
    Luka w zabezpieczeniach: wielu administratorów + przechowywane skrypty między witrynami
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 28 września 2021 r. Odinstaluj i usuń.

    9. Karty Qwiz

    Wtyczka: Qwizcards
    Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
    Poprawione w wersji : 3.62
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.62.

    10. Tłumacz lokomotywy

    Wtyczka: Loco Tłumacz
    Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcie kodu PHP
    Łatka w wersji : 2.5.4
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.5.4.

    11. Kreator wirtualnych wycieczek iPanorama 360 WordPress

    Wtyczka: iPanorama 360 WordPress Virtual Tour Builder
    Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
    Poprawione w wersji : 1.6.22
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.22.

    12. Wizja interaktywna dla WordPress

    Wtyczka: Vision Interactive dla WordPress
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    13. ImageLinks Interactive Image Builder dla WordPress

    Wtyczka: ImageLinks Interactive Image Builder dla WordPress
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    14. WordPress Łatwa niestandardowa wtyczka Js i Css

    Wtyczka: WordPress Easy Custom Js i Css Plugin
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    15. Flipbook iPages dla WordPress

    Wtyczka: iPages Flipbook dla WordPress
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawione w wersji : 1.4.3
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.4.3.

    16. 404 do 301

    Wtyczka: 404 do 301
    Luka w zabezpieczeniach: usuwanie logów przez CSRF
    Łatka w wersji : 3.0.9
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.9.

    17. Post-ekspirator

    Wtyczka: Post Expirator
    Luka w zabezpieczeniach : Harmonogram postów Contributor + arbitralny
    Łatka w wersji : 2.6.0
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.22.

    18. Obrazy nagłówka WP

    Wtyczka: obrazy nagłówka WP
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Łatka w wersji : 2.0.1
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.1.

    19. Subskrypcje i członkostwo w systemie PayPal

    Wtyczka: subskrypcje i członkostwo w systemie PayPal
    Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 30 września 2021 r. Odinstaluj i usuń.

    20. Przyjmuj darowizny za pomocą PayPal

    Wtyczka: Akceptuj darowizny za pomocą PayPal
    Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
    Poprawione w wersji : 1.3.1
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.1.

    21. Wydarzenia PayPal

    Wtyczka: Wydarzenia PayPal
    Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 30 września 2021 r. Odinstaluj i usuń.

    22. Menedżer kodów nagłówka i stopki

    Wtyczka: Menedżer kodów nagłówka i stopki
    Luka w zabezpieczeniach: Admin + wstrzyknięcia SQL
    Łatka w wersji : 1.1.14
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.14.

    23. wpDiscuz

    Wtyczka: wpDiscuz
    Podatność : Dodanie/edycja/usunięcie arbitralnego komentarza za pośrednictwem CSRF
    Poprawione w wersji : 7.3.4
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.3.4.

    24. Druk 3D Lite

    Wtyczka: Druk 3D Lite
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Łatka w wersji : 1.9.1.6
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.1.6.

    25. Forum Asgarosa

    Wtyczka: Forum Asgaros
    Luka w zabezpieczeniach: usunięcie przekierowania przez CSRF
    Łatka w wersji : 1.15.13
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.15.13.

    26. Przekierowanie WP SEO 301

    Wtyczka: Przekierowanie WP SEO 301
    Luka w zabezpieczeniach: usunięcie przekierowania przez CSRF
    Poprawione w wersji : 2.3.2
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.3.2.

    27. WCFM – Frontend Manager dla WooCommerce

    Wtyczka: WCFM – Frontend Manager dla WooCommerce
    Luka w zabezpieczeniach : klient/subskrybent + wstrzyknięcie SQL
    Łatka w wersji : 6.5.12
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.5.12.

    28. Menedżer stowarzyszony

    Wtyczka: Menedżer afiliacyjny
    Luka w zabezpieczeniach: Admin + wstrzyknięcia SQL
    Poprawiono w wersji : 2.8.7
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.8.7.

    29. Podobne posty

    Wtyczka: Podobne posty
    Luka : Admin + wykonanie dowolnego kodu PHP
    Łatka w wersji : 3.1.6
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.1.6.

    30. Tabela produktów WooCommerce

    Wtyczka: Tabela produktów WooCommerce
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawione w wersji : 1.0.4
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.4.

    31. Menedżer rabatów dla produktów

    Wtyczka: Menedżer rabatów dla produktów
    Luka w zabezpieczeniach: odbite skrypty między witrynami
    Poprawione w wersji : 3.4.5
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.4.5.

    32. Konstruktor referencji

    Wtyczka: Konstruktor referencji
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Łatka w wersji : 1.6.0
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.0.

    33. Brizy

    Wtyczka: Brizy
    Luka w zabezpieczeniach: nieprawidłowa autoryzacja do publikowania modyfikacji
    Łatka w wersji : 2.3.12
    Wynik ważności : wysoki

    Luka została załatana, więc należy zaktualizować ją do wersji 2.3.12.

    Wtyczka: Brizy
    Luka w zabezpieczeniach: uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Łatka w wersji : 2.3.12
    Wynik ważności : średni

    Luka została załatana, więc należy zaktualizować ją do wersji 2.3.12.

    Wtyczka: Brizy
    Luka w zabezpieczeniach : przesyłanie uwierzytelnionych plików i przemierzanie ścieżki
    Łatka w wersji : 2.3.12
    Wynik ważności : wysoki

    Luka została załatana, więc należy zaktualizować ją do wersji 2.3.12.

    34. Kolorowe kategorie

    Wtyczka: kolorowe kategorie
    Luka w zabezpieczeniach: arbitralna aktualizacja kolorów za pośrednictwem CSRF
    Łatka w wersji : 2.0.15
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.15.

    35. Najszybsza pamięć podręczna WP

    Wtyczka: Najszybsza pamięć podręczna WP
    Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
    Poprawione w wersji : 0.9.5
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.9.5.

    Wtyczka: Najszybsza pamięć podręczna WP
    Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
    Poprawione w wersji : 0.9.5
    Wynik ważności : wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.9.5.

    36. Menedżer biznesowy

    Wtyczka: Business Manager
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : brak znanej poprawki
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    37. Tablica ogłoszeń Vanila

    Wtyczka: Tablica ogłoszeń Vanila
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    38. Lista pracy WpGenius

    Wtyczka: Lista zadań WpGenius
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    39. Kierownik pracy

    Wtyczka: Menedżer zadań
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    40. Portal pracy

    Wtyczka: Portal pracy
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    41. Plakat krzyżowy MyBB

    Wtyczka: MyBB Cross-Poster
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    42. Powiadomienia administratora KJM

    Wtyczka: Powiadomienia administratora KJM
    Luka w zabezpieczeniach: nieprawidłowa autoryzacja do publikowania modyfikacji
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 października 2021 r. Odinstaluj i usuń.

    43. HAL

    Wtyczka: HAL
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawione w wersji : 2.2
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.2.

    44. Autor Bio Box

    Wtyczka: Bio Box autora
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawione w wersji : 3.4.0
    Wynik ciężkości : niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.4.0.

    45. WordPress + Microsoft Office 365

    Wtyczka: WordPress + Microsoft Office 365
    Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
    Poprawione w wersji : 15.4
    Ocena ważności : krytyczna

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 15.4.

    46. ​​Sonda YOP

    Wtyczka: ankieta YOP
    Luka w zabezpieczeniach: Przechowywane skrypty między witrynami autora+ za pomocą modułu opcji
    Poprawione w wersji : 6.3.1
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.3.1.

    Wtyczka: ankieta YOP
    Luka w zabezpieczeniach : Przechowywane skrypty między witrynami autora + za pośrednictwem modułu podglądu
    Poprawione w wersji : 6.3.1
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.3.1.

    47. Indeed importer pracy

    Wtyczka: Indeed Job Importer
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ważności : wysoki

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 14 października 2021 r. Odinstaluj i usuń.

    48. MPL-Publisher – Opublikuj samodzielnie swoją książkę i ebook

    Wtyczka: MPL-Publisher – Opublikuj samodzielnie swoją książkę i ebook
    Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
    Poprawiona w wersji : brak znanej poprawki
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    49. JobBoardWP

    Wtyczka: JobBoardWP
    Luka w zabezpieczeniach: nieprawidłowa autoryzacja do publikowania modyfikacji
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : niski

    Ta luka NIE została załatana. Ta wtyczka została zamknięta 14 października 2021 r. Odinstaluj i usuń.

    Luki w motywie WordPress

    1. Nowoczesny blog typu kwadratowego

    Temat: Nowoczesny blog Squaretype
    Luka w zabezpieczeniach: ujawnienie nieuwierzytelnionych wpisów prywatnych/w harmonogramie
    Łatka w wersji : 3.0.4
    Wynik ważności : średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.4.

    Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

    Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luki w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

    1. Codzienne skanowanie w poszukiwaniu znanych luk w zabezpieczeniach witryn

    Wtyczka iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu hakowania witryn WordPress: nieaktualnych wtyczek i motywów ze znanymi lukami w zabezpieczeniach.

    2. Automatyczna aktualizacja do bezpiecznych wersji

    Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

    3. Monitoruj zmiany plików

    Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

    Uzyskaj iThemes Security Pro z całodobowym monitorowaniem witryn

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

    • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
    • Wykrywanie zmiany pliku
    • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
    • Dzienniki bezpieczeństwa WordPress
    • Zaufane urządzenia
    • reCAPTCHA
    • Ochrona przed brutalną siłą
    • Uwierzytelnianie dwuskładnikowe
    • Magiczne linki logowania
    • Eskalacja uprawnień
    • Sprawdzanie i odmowa złamanych haseł

    Uzyskaj iThemes Security Pro