Отчет об уязвимостях WordPress: январь 2022 г., часть 2
Опубликовано: 2022-01-12Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress. Новое в этом отчете: уязвимости теперь перечислены по количеству активных установок, а не по дате раскрытия.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех !
Уязвимости ядра WordPress
Последняя версия ядра WordPress была выпущена 6 января 2022 года в качестве короткого выпуска безопасности. Поскольку WordPress 5.8.3 является выпуском безопасности, мы рекомендуем вам немедленно обновить все ваши сайты.
Вы можете обновить WordPress до версии 5.8.3, загрузив ее с WordPress.org или посетив панель администратора WordPress > «Обновления» и нажав « Обновить сейчас» .
Если у вас есть сайты, на которых включено автоматическое фоновое обновление, они уже должны были успешно обновиться.
Ядро WordPress
Уязвимость : SQL-инъекция через WP_Query
Исправлено в версии : 5.8.3
Объяснение: из-за отсутствия надлежащей очистки в WP_Meta_Query существует вероятность слепой инъекции SQL.
Уязвимость : автор + хранит XSS через почтовые слаги
Исправлено в версии : 5.8.3
Объяснение: Аутентифицированные пользователи с низким уровнем привилегий (например, автор) в ядре WordPress могут выполнять JavaScript/выполнять сохраненную XSS-атаку с помощью слагов сообщений, что может повлиять на пользователей с высоким уровнем привилегий.
Уязвимость : внедрение объектов суперадминистратора в мультисайты
Исправлено в версии : 5.8.3
Объяснение. На мультисайте пользователи с ролью суперадминистратора могут при определенных условиях обойти явное/дополнительное усиление защиты посредством внедрения объектов.
Уязвимость : SQL-инъекция через WP_Meta_Query
Исправлено в версии : 5.8.3
Объяснение: из-за отсутствия надлежащей очистки в WP_Meta_Query существует вероятность слепой инъекции SQL.
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, активные установки, номер версии, если она исправлена, и рейтинг серьезности.
1. Поддержка SVG
Плагин: Поддержка SVG
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 800 000+
Исправлено в версии : 2.3.20
Оценка серьезности : низкая
2. Очистка активов
Плагин: Очистка активов
Уязвимость : отраженный межсайтовый скриптинг через действие AJAX
Активная установка : 100 000+
Исправлено в версии : 1.3.8.5
Оценка серьезности : высокая
Плагин: Очистка активов
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 100 000+
Исправлено в версии : 1.3.8.5
Оценка серьезности : средняя
3. Платное членство Pro
Плагин: Платное членство Pro
Уязвимость : слепая SQL-инъекция без аутентификации
Активная установка : 100 000+
Исправлено в версии : 2.6.7
Оценка серьезности : критическая
4. NextScripts: автопостер социальных сетей
Плагин: NextScripts: Автопостер социальных сетей
Уязвимость : произвольное удаление сообщений через CSRF
Активная установка : 90 000+
Исправлено в версии : 4.3.25
Оценка серьезности : средняя
Плагин: NextScripts: Автопостер социальных сетей
Уязвимость : неаутентифицированный сохраненный XSS
Активная установка : 90 000+
Исправлено в версии : 4.3.25
Оценка серьезности : высокая
5. Поиск цвета слоновой кости
Плагин: Поиск цвета слоновой кости
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Активная установка : 80 000+
Исправлено в версии : 5.4.1
Оценка серьезности : высокая
6. Легкая социальная лента
Плагин: Easy Social Feed
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 70 000+
Исправлено в версии : 6.2.7
Оценка серьезности : высокая
7. Визуальный редактор стилей CSS
Плагин: Визуальный редактор стилей CSS
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 50 000+
Исправлено в версии : 7.5.4
Оценка серьезности : высокая
8. Записи контактной формы
Плагин: Записи контактной формы
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 40 000+
Исправлено в версии : 1.1.7
Оценка серьезности : высокая
9. Расширенный менеджер Cron
Плагин: Расширенный менеджер Cron
Уязвимость : подписчик+ произвольные события/расписание создания/удаления
Активная установка : 30 000+
Исправлено в версии : 2.4.2
Оценка серьезности : средняя
10. WPLegalPages
Плагин: WPLegalPages
Уязвимость : обновление произвольных настроек подписчика + для сохраненного XSS
Активная установка : 20 000+
Исправлено в версии : 2.7.1
Оценка серьезности : средняя
11. Статистика посетителей WP (трафик в реальном времени)
Плагин: Статистика посетителей WP (трафик в реальном времени)
Уязвимость : подписчик + SQL-инъекция
Активная установка : 20 000+
Исправлено в версии : 4.8
Оценка серьезности : высокая
12. Злые папки
Плагин: Злые папки
Уязвимость : подписчик + SQL-инъекция
Активная установка : 10 000+
Исправлено в версии : 2.8.10
Оценка серьезности : высокая
13. Поддержка конфет
Плагин: SupportCandy
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 2.2.7
Оценка серьезности : средняя
Плагин: SupportCandy
Уязвимость : CSRF для межсайтового скриптинга
Активная установка : 10 000+
Исправлено в версии : 2.2.7
Оценка серьезности : средняя
Плагин: SupportCandy
Уязвимость : произвольное удаление билетов через CSRF
Активная установка : 10 000+
Исправлено в версии : 2.2.7
Оценка серьезности : высокая
Плагин: SupportCandy
Уязвимость : произвольное удаление билета без аутентификации
Активная установка : 10 000+
Исправлено в версии : 2.2.7
Оценка серьезности : высокая
Плагин: SupportCandy
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 2.2.7
Оценка серьезности : средняя
14. Переупорядочить продукты Woocommerce
Плагин: Изменить порядок продуктов Woocommerce
Уязвимость : подписчик + SQL-инъекция
Активная установка : 10 000+
Исправлено в версии : 3.0.8
Оценка серьезности : высокая
15. Блокировщик страны IP2Location
Плагин: блокировщик страны IP2Location
Уязвимость : Произвольный запрет страны через CSRF
Активная установка : 10 000+
Исправлено в версии : 2.26.6
Оценка серьезности : средняя
Плагин: блокировщик страны IP2Location
Уязвимость : подписчик + произвольный запрет страны
Активная установка : 10 000+
Исправлено в версии : 2.26.6
Оценка серьезности : средняя
Плагин: блокировщик страны IP2Location
Уязвимость : обход бана
Активная установка : 10 000+
Исправлено в версии : 2.26.6
Оценка серьезности : средняя
16. Потрясающая поддержка — WordPress HelpDesk и плагин поддержки
Плагин: Отличная поддержка — Titan Framework
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 10 000+
Исправлено в версии : 6.0.11
Оценка серьезности : высокая
17. Окончательный каталог продукции
Плагин: Ultimate Product Catalog
Уязвимость : подписчик + Произвольное создание продукта и обновление настроек
Активная установка : 10 000
Исправлено в версии : 5.0.26
Оценка серьезности : средняя
18. Встраивание документов
Плагин: встраивание документов
Уязвимость : Подписчик + Произвольное раскрытие заголовка частного/чернового сообщения
Активная установка : 9000+
Исправлено в версии : 1.7.9
Оценка серьезности : средняя
Плагин: встраивание документов
Уязвимость : Произвольное раскрытие заголовка частной/черновой публикации без проверки подлинности
Активная установка : 9000+
Исправлено в версии : 1.7.9
Оценка серьезности : средняя
19. RVM — адаптивные векторные карты
Плагин: RVM — Адаптивные векторные карты
Уязвимость : чтение произвольного файла подписчиком +
Активная установка : 6000+
Исправлено в версии : 6.4.2
Оценка серьезности : высокая
20. Медиаматичный
Плагин: Mediamatic
Уязвимость : подписчик + SQL-инъекция
Активная установка : 3000+
Исправлено в версии : 2.8.1
Оценка серьезности : высокая
21. Вупра
Плагин: Woopra
Уязвимость : загрузка произвольного файла без проверки подлинности
Активная установка : 2000+
Исправлено в версии : 1.4.3.2
Оценка серьезности : критическая
22. Диспетчер доступа к правам пользователей
Плагин: Менеджер доступа к правам пользователей
Уязвимость : обход ограничения доступа
Активная установка : 900+
Исправлено в версии : 1.0.8
Оценка серьезности : средняя
23. Кнопка ЮМани
Плагин: Кнопка YuMoney — Titan Framework
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 900+
Исправлено в версии : 2.4.0
Оценка серьезности : высокая
24. Интеграция TrustMate.io для WooCommerce
Плагин: интеграция TrustMate.io для WooCommerce
Уязвимость : обновление настроек произвольного плагина Subscriber+
Активная установка : 300+
Исправлено в версии : 1.8.12
Оценка серьезности : высокая
Плагин: интеграция TrustMate.io для WooCommerce
Уязвимость : обновление подписчика + произвольного блога
Активная установка : 300+
Исправлено в версии : 1.7.1
Оценка серьезности : высокая
25. Настоящий ранкер
Плагин: True Ranker
Уязвимость : неаутентифицированный произвольный доступ к файлам через обход пути
Активная установка : 300+
Исправлено в версии : 2.2.4
Оценка серьезности : высокая
26. WebHotelier для WordPress
Плагин: WebHotelier для WordPress — Titan Framework
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 200+
Исправлено в версии : 1.6.1
Оценка серьезности : высокая
Уязвимости плагинов премиум-класса
В этом разделе были раскрыты последние уязвимости премиум-плагина WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
27. Расширенный Cron Manager Pro
Плагин: Advanced Cron Manager Pro
Уязвимость : подписчик + произвольные события/расписание создания/удаления
Исправлено в версии : 2.5.3
Оценка серьезности : средняя
Уязвимости плагинов WordPress: неизвестное исправление
В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.
28. Контактная форма 7 скинов
Плагин: Contact Form 7 Skins
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 30 000+
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя
29. ВуРокетс Нитро
Плагин: WooRockets Nitro
Уязвимость : установка произвольного плагина без аутентификации
Исправлено в версии : неизвестное исправление
Оценка серьезности : критическая
30. Партнерская программа Amazon
Плагин: Amazon Affiliate
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Активируйте обнаружение изменения файла
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.
