Raport de vulnerabilitate WordPress: octombrie 2021, partea 4
Publicat: 2021-10-27Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.
Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.1 a fost lansată ca o versiune de securitate și întreținere. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
1. Fișiere partajate
Plugin: fișiere partajate
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.6.61
Scor de severitate : scăzut
2. QR Redirector
Plugin: QR Redirector
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 1.6.1
Scor de severitate : mediu
Plugin: QR Redirector
Vulnerabilitate : Abonat+ Actualizare de stare a răspunsului de redirecționare QR arbitrară
Patched în versiunea : 1.6
Scor de severitate : mediu
3. MouseWheel Smooth Scroll
Plugin: MouseWheel Smooth Scroll
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Patched în versiunea : 5.7
Scor de severitate : mediu
4. Inserați pagini
Plugin: Inserați pagini
Vulnerabilitate : Contributor+ Acces arbitrar la postări/pagini
Patched în versiunea : 3.7.0
Scor de severitate : mediu
Plugin: Inserați pagini
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 3.7.0
Scor de severitate : mediu
5. Redirecționare SEO
Plugin: redirecționare SEO
Vulnerabilitate : Abonat+ SQL Injection
Patched în versiunea : 8.2
Scor de severitate : mare
6. Donație Paypal
Plugin: donație Paypal
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.3.2
Scor de severitate : scăzut
7. IMPres pentru IDX Broker
Plugin: IMPress pentru IDX Broker
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.0.6
Scor de severitate : mare
8. Conectare JWT simplă
Plugin: Conectare JWT simplă
Vulnerabilitate : Actualizarea setărilor arbitrare la preluarea site-ului prin CSRF
Patched în versiunea : 3.2.1
Scor de severitate : mare
9. Biletele mele
Plugin: Biletele mele
Vulnerabilitate : Abonat+ SQL Injection
Patched în versiunea : 1.8.31
Scor de severitate : mare
10. Facturarea clientului prin Sprout Invoices
Plugin: Facturarea clientului prin Sprout Invoices
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 19.9.7
Scor de severitate : scăzut
11. Jurnal de e-mail
Plugin: jurnal de e-mail
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 2.4.7
Scor de severitate : mediu
12. WP Performance Score Booster
Plugin WP Performance Score Booster
Vulnerabilitate : Setările se modifică prin CSRF
Patched în versiunea : 2.1
Scor de severitate : mediu
13. Integrare Active Directory / Integrare LDAP
Plugin: Integrare Active Directory / Integrare LDAP
Vulnerabilitate : Abonat+ SQL Injection
Patched în versiunea : 3.6.95
Scor de severitate : mare
14. TableOn
Plugin: TableOn
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.0.1
Scor de severitate : mediu
15. Slider de imagine receptivă, galerie foto și carusel
Plugin: glisor de imagine receptiv, galerie foto și carusel
Vulnerabilitate : Slider Clone/Save/Delete prin CSRF
Patched în versiunea : 1.3.2
Scor de severitate : mediu
Plugin: glisor de imagine receptiv, galerie foto și carusel
Vulnerabilitate : Abonat+ Acces arbitrar la postare
Patched în versiunea : 1.3.6
Scor de severitate : mediu
16. Pagina WP Sitemap
Plugin: Pagina WP Sitemap
Vulnerabilitate : Administrator+ Stocat Cross Site Scripting
Patched în versiunea : 1.7.0
Scor de severitate : scăzut
17. Flux
Plugin: Stream
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 3.8.2
Scor de severitate : mediu
18. Util
Plugin: util
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 4.4.59
Scor de severitate : scăzut
19. LearnPress
Plugin: LearnPress
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 4.1.3.2
Scor de severitate : scăzut
20. Punerea în scenă a conținutului
Plugin: Content Staging
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
21. Leaky Paywall
Plugin: Leaky Paywall
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched in Version : Nicio remediere cunoscută
Scor de severitate : scăzut
22. Tutor LMS
Plugin: Tutor LMS
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.9.11
Scor de severitate : mediu
23. Logo Showcase cu Slick Slider
Plugin: Logo Showcase cu Slick Slider
Vulnerabilitate : autor+ Scripturi încrucișate stocate
Patched în versiunea : 1.2.4
Scor de severitate : mediu
24. Formidabil Form Builder
Plugin: Formidable Form Builder
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Patched în versiunea : 4.09.05
Scor de severitate : scăzut
25. Descărcați pluginul
Plugin: Descărcați pluginul
Vulnerabilitate : Abonat+ Activare Arbitrară Plugin
Patched în versiunea : 1.6.1
Scor de severitate : mediu
26. Imagini către WebP
Plugin: Imagini pe WebP
Vulnerabilitate : falsificarea cererilor pe mai multe site-uri (CSRF)
Patched în versiunea : 1.9
Scor de severitate : mediu
Plugin: Imagini pe WebP
Vulnerabilitate : Includerea fișierelor locale autentificate
Patched în versiunea : 1.9
Scor de severitate : scăzut
27. MStore API
Plugin: MStore API
Vulnerabilitate : Încărcare fișier PHP neautentificat
Patched în versiunea : 3.4.5
Scor de severitate : critic
28. Descărcări digitale ușoare
Plugin: Descărcări digitale ușoare
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.11.2.1
Scor de severitate : mare
29. Manager de acces avansat
Plugin: Manager de acces avansat
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 6.8.0
Scor de severitate : scăzut
30. Sondaj YOP
Plugin: Sondaj YOP
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 6.1.2
Scor de severitate : mediu
31. WP Attachment Export
Plugin: WP Attachment Export
Vulnerabilitate : Descărcare postări neautentificate
Patched în versiunea : 0.2.4
Scor de severitate : mare
32. Glisor text conținut pe postare
Plugin: glisor de text de conținut pe postare
Vulnerabilitate : Scripturi între site-uri stocate autentificate (XSS)
Patched în versiunea : 6.9
Scor de severitate : mediu
33. Icegram
Plugin: Icegram
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 2.0.3
Scor de severitate : scăzut
34. BetterLinks
Plugin: BetterLinks
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.2.6
Scor de severitate : scăzut
35. LearnDash
Plugin: LearnDash
Vulnerabilitate : Încărcare de fișier arbitrar neautentificat
Patched în versiunea : 2.5.4
Scor de severitate : critic
36. ImageBoss
Plugin: ImageBoss
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 3.0.6
Scor de severitate : scăzut
37. Formator
Plugin: Forminator
Vulnerabilitate : Administrator + Scripturi încrucișate stocate
Patched în versiunea : 1.2.4
Scor de severitate : scăzut
38. MPL-Editura
Plugin: MPL-Publisher
Vulnerabilitate : Administrator+ Stocat Cross Site Scripting
Patched în versiunea : 1.30.4
Scor de severitate : scăzut
39. Elementor
Plugin: Elementor
Vulnerabilitate : DOM Cross Site Scripting
Patched în versiunea : 3.1.4
Scor de severitate : mediu
40. Sassy Social Share
Plugin: Sassy Social Share
Vulnerabilitate : lipsesc controale de acces la PHP Object Injection
Patched în versiunea : 3.3.24
Scor de severitate : mediu
41. Pie Register
Plugin: Pie Register
Vulnerabilitate : Deschideți redirecționarea
Patched în versiunea : 3.7.2.4
Scor de severitate : mediu
42. Formulare avansate
Plugin: Formulare avansate
Vulnerabilitate : Abonat+ Actualizare arbitrară a adresei de e-mail a utilizatorului prin IDOR
Patched în versiunea : 1.6.9
Scor de severitate : mare
Plugin: Advanced Forms Pro
Vulnerabilitate : Abonat+ Actualizare arbitrară a adresei de e-mail a utilizatorului prin IDOR
Patched în versiunea : 1.6.9
Scor de severitate : mare
43. Captură Teme Demo Import
Plugin: Captură Teme Demo Import
Vulnerabilitate : Admin+ Încărcare arbitrară de fișiere
Patched în versiunea : 1.8
Scor de severitate : critic
44. Mesaj simplu de locuri de muncă
Plugin: Simple Job Board
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 2.9.5
Scor de severitate : scăzut
45. Căutare de fildeș
Plugin: Ivory Search
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 4.7
Scor de severitate : mare
46. Poarta Vârstei
Plugin: Age Gate
Vulnerabilitate : Scripturi între site-uri stocate autentificate
Patched în versiunea : 2.16.4
Scor de severitate : critic
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Scanați pentru vulnerabilități cunoscute ale site-urilor web
Pluginul iThemes Security Pro scanează pentru principalul motiv pentru care site-urile WordPress sunt sparte: pluginuri învechite și teme cu vulnerabilități cunoscute.
2. Actualizare automată la versiuni sigure
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Monitorizați modificările fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.