Raport de vulnerabilitate WordPress: octombrie 2021, partea 3

Publicat: 2021-10-21

Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.

Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.

Conținutul Raportului din 20 octombrie 2021
    Doriți ca acest raport să fie livrat în căsuța dvs. de e-mail în fiecare săptămână?
    Abonați-vă la e-mailul săptămânal

    Vulnerabilitățile de bază ale WordPress

    Cea mai recentă versiune de nucleu WordPress este 5.8.1 a fost lansată ca o versiune de securitate și întreținere. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!

    Vulnerabilități în pluginul WordPress

    În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.

    1. WPSchoolPress

    Plugin: WPSchoolPress
    Vulnerabilitate : Administrare multiplă+ Scripturi între site-uri stocate
    Patched în versiunea : 2.1.17
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.1.17.

    Plugin: WPSchoolPress
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 2.1.10
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.1.10.

    Plugin: WPSchoolPress
    Vulnerabilitate : mai multe injecții SQL autentificate
    Patched în versiunea : 2.1.10
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.1.10.

    2. YITH WooCommerce Multi Vendor

    Plugin: Squaretype MYITH WooCommerce Multi Vendor
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 3.8.1
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.8.1.

    3. Print-O-Matic

    Plugin: Print-O-Matic
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched în versiunea : 2.0.3
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.0.3.

    4. Pie Register

    Plugin: Pie Register
    Vulnerabilitate : injecție SQL neautentificată
    Patched în versiunea : 3.7.1.6
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.7.1.6.

    Plugin: Pie Register
    Vulnerabilitate : injecție SQL neautentificată
    Patched în versiunea : 3.7.1.6
    Scor de severitate : critic

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.7.1.6.

    5. Cupon afiliați pentru WooCommerce

    Plugin: cupon afiliați pentru WooCommerce
    Vulnerabilitate : ștergerea vizitelor de trimitere arbitrară prin CSRF
    Patched în versiunea : 4.11.3.4
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.11.3.4.

    6. Încărcător MAZ

    Plugin: MAZ Loader
    Vulnerabilitate : Contributor+ SQL Injection
    Patched în versiunea : 1.3.3
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.3.

    7. Textul subsolului magazinului

    Plugin: Textul subsolului magazinului
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : mediu

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 6 octombrie 2021. Dezinstalați și ștergeți.

    8. Quiz Tool Lite

    Plugin: Quiz Tool Lite
    Vulnerabilitate : Administrare multiplă+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 28 septembrie 2021. Dezinstalați și ștergeți.

    9. Qwizcards

    Plugin: Qwizcards
    Vulnerabilitate : Administrator+ Stocat Cross Site Scripting
    Patched în versiunea : 3.62
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.62.

    10. Loco Translate

    Plugin: Loco Translate
    Vulnerabilitate : Injectare cod PHP autentificat
    Patched în versiunea : 2.5.4
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.5.4.

    11. iPanorama 360 WordPress Virtual Tour Builder

    Plugin: iPanorama 360 WordPress Virtual Tour Builder
    Vulnerabilitate : CSRF la Scripturi stocate între site-uri
    Patched în versiunea : 1.6.22
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.6.22.

    12. Vision Interactive pentru WordPress

    Plugin: Vision Interactive pentru WordPress
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiune : nu se cunoaște o remediere
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

    13. ImageLinks Interactive Image Builder pentru WordPress

    Plugin: ImageLinks Interactive Image Builder pentru WordPress
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiune : nu se cunoaște o remediere
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

    14. Pluginul WordPress ușor personalizat Js și Css

    Plugin: WordPress ușor personalizat Js și Css
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiune : nu se cunoaște o remediere
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

    15. iPages Flipbook pentru WordPress

    Plugin: iPages Flipbook pentru WordPress
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 1.4.3
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.4.3.

    16. 404 până la 301

    Plugin: de la 404 la 301
    Vulnerabilitate : Ștergerea jurnalelor prin CSRF
    Patched în versiunea : 3.0.9
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.9.

    17. Post expirator

    Plugin: Post expirator
    Vulnerabilitate : Contributor+ Program arbitrar de postare
    Patched în versiunea : 2.6.0
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.6.22.

    18. Imagini antet WP

    Plugin: WP Header Images
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 2.0.1
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.0.1.

    19. Abonamente și abonamente pentru PayPal

    Plugin: abonamente și abonamente pentru PayPal
    Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 30 septembrie 2021. Dezinstalați și ștergeți.

    20. Acceptați donații cu PayPal

    Plugin: Acceptați donații cu PayPal
    Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
    Patched în versiunea : 1.3.1
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.1.

    21. Evenimente PayPal

    Plugin: Evenimente PayPal
    Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 30 septembrie 2021. Dezinstalați și ștergeți.

    22. Manager de coduri de subsol antet

    Plugin: Header Footer Code Manager
    Vulnerabilitate : Admin+ Injecții SQL
    Patched în versiunea : 1.1.14
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.14.

    23. wpDiscuz

    Plugin: wpDiscuz
    Vulnerabilitate : Adăugarea/Ediția/Ștergerea unui comentariu arbitrar prin CSRF
    Patched în versiunea : 7.3.4
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.3.4.

    24. 3D Print Lite

    Plugin: 3D Print Lite
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 1.9.1.6
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.9.1.6.

    25. Forumul Asgaros

    Plugin: Asgaros Forum
    Vulnerabilitate : Ștergerea redirecționării prin CSRF
    Patched în versiunea : 1.15.13
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.15.13.

    26. WP SEO Redirect 301

    Plugin: WP SEO Redirect 301
    Vulnerabilitate : Ștergerea redirecționării prin CSRF
    Patched în versiunea : 2.3.2
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.3.2.

    27. WCFM – Manager Frontend pentru WooCommerce

    Plugin: WCFM – Manager de front-end pentru WooCommerce
    Vulnerabilitate : Client/Abonat+ SQL Injection
    Patched în versiunea : 6.5.12
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.5.12.

    28. Manager afiliat

    Plugin: Manager afiliat
    Vulnerabilitate : Admin+ Injecții SQL
    Patched în versiunea : 2.8.7
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.8.7.

    29. Postări similare

    Plugin: Postări similare
    Vulnerabilitate : Admin+ Execuție arbitrară a codului PHP
    Patched în versiunea : 3.1.6
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.1.6.

    30. Tabel cu produse WooCommerce

    Plugin: WooCommerce Products Table
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 1.0.4
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.0.4.

    31. Manager de reduceri pentru produse

    Plugin: Manager de reduceri pentru produse
    Vulnerabilitate : Scripturi reflectate între site-uri
    Patched în versiunea : 3.4.5
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.4.5.

    32. Constructor de mărturii

    Plugin: Testimonial Builder
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched în versiunea : 1.6.0
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.6.0.

    33. Brizy

    Plugin: Brizy
    Vulnerabilitate : Autorizare incorectă pentru a posta modificarea
    Patched în versiunea : 2.3.12
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.3.12.

    Plugin: Brizy
    Vulnerabilitate : Scripturi între site-uri stocate autentificate
    Patched în versiunea : 2.3.12
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.3.12.

    Plugin: Brizy
    Vulnerabilitate : Încărcarea fișierului autentificat și traversarea căii
    Patched în versiunea : 2.3.12
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.3.12.

    34. Categorii colorate

    Plugin: Categorii colorate
    Vulnerabilitate : Actualizare de culori arbitrare prin CSRF
    Patched în versiunea : 2.0.15
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.0.15.

    35. WP Fastest Cache

    Plugin: WP Fastest Cache
    Vulnerabilitate : Abonat+ SQL Injection
    Patched în versiunea : 0.9.5
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 0.9.5.

    Plugin: WP Fastest Cache
    Vulnerabilitate : CSRF la Scripturi stocate între site-uri
    Patched în versiunea : 0.9.5
    Scor de severitate : mare

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 0.9.5.

    36. Manager de afaceri

    Plugin: Business Manager
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched in Version : Nicio remediere cunoscută
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

    37. Job Board Vanila

    Plugin: Job Board Vanila
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    38. Lista de locuri de muncă WpGenius

    Plugin: Lista de locuri de muncă WpGenius
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    39. Manager de locuri de muncă

    Plugin: Job Manager
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    40. Portal de locuri de muncă

    Plugin: Portal de locuri de muncă
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    41. MyBB Cross-Poster

    Plugin: MyBB Cross-Poster
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    42. Notificări de administrare KJM

    Plugin: Notificări de administrator KJM
    Vulnerabilitate : Autorizare incorectă pentru a posta modificarea
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 13 octombrie 2021. Dezinstalați și ștergeți.

    43. HAL

    Plugin: HAL
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched în versiunea : 2.2
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.2.

    44. Cutia Biografiei Autorului

    Plugin: Autor Bio Box
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched în versiunea : 3.4.0
    Scor de severitate : scăzut

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.4.0.

    45. WordPress + Microsoft Office 365

    Plugin: WordPress + Microsoft Office 365
    Vulnerabilitate : Scripturi între site-uri stocate neautentificate
    Patched în versiunea : 15.4
    Scor de severitate : critic

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 15.4.

    46. ​​Sondaj YOP

    Plugin: Sondaj YOP
    Vulnerabilitate : Autor+ Stocat Cross-Site Scripting prin Modulul Opțiuni
    Patched în versiunea : 6.3.1
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.3.1.

    Plugin: Sondaj YOP
    Vulnerabilitate : Autor+ Scripturi între site-uri stocate prin modulul de previzualizare
    Patched în versiunea : 6.3.1
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.3.1.

    47. Indeed Job Importer

    Plugin: Indeed Job Importer
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : mare

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 14 octombrie 2021. Dezinstalați și ștergeți.

    48. MPL-Publisher – Autopublicați-vă cartea și cartea electronică

    Plugin: MPL-Publisher – Autopublicați-vă cartea și cartea electronică
    Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
    Patched in Version : Nicio remediere cunoscută
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

    49. JobBoardWP

    Plugin: JobBoardWP
    Vulnerabilitate : Autorizare incorectă pentru a posta modificarea
    Corectat în versiune : Nicio remediere cunoscută – pluginul închis
    Scor de severitate : scăzut

    Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 14 octombrie 2021. Dezinstalați și ștergeți.

    Vulnerabilități ale temei WordPress

    1. Squaretype Modern Blog

    Tema: Blog modern Squaretype
    Vulnerabilitate : Dezvăluirea postărilor private/programate neautentificate
    Patched în versiunea : 3.0.4
    Scor de severitate : mediu

    Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.4.

    Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

    După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

    1. Scanați zilnic pentru vulnerabilități cunoscute ale site-urilor web

    Pluginul iThemes Security Pro scanează pentru principalul motiv pentru care site-urile WordPress sunt sparte: pluginuri învechite și teme cu vulnerabilități cunoscute.

    2. Actualizare automată la versiuni sigure

    Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.

    3. Monitorizați modificările fișierelor

    Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.

    Obțineți iThemes Security Pro cu monitorizarea site-ului web 24/7

    iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.

    • Scaner de site-uri pentru vulnerabilitățile de plugin și teme
    • Detectarea modificării fișierelor
    • Tabloul de bord pentru securitatea site-ului în timp real
    • Jurnalele de securitate WordPress
    • Dispozitive de încredere
    • reCAPTCHA
    • Protecție cu forța brută
    • Autentificare cu doi factori
    • Link-uri de conectare magice
    • Privilegiul escaladării
    • Verificarea și refuzul parolelor compromise

    Obțineți iThemes Security Pro