Отчет об уязвимостях WordPress: ноябрь 2021 г., часть 1

Опубликовано: 2021-11-03

Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.

Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Хотите, чтобы этот отчет доставлялся на ваш почтовый ящик каждую неделю?
Подпишитесь на еженедельную рассылку

Уязвимости ядра WordPress

Последняя версия ядра WordPress — 5.8.1. Рекомендуется всегда использовать последнюю версию ядра WordPress!

Уязвимости плагинов WordPress

В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

1. Отзывы плюс

Плагин: Отзывы Плюс
Уязвимость : подписчик + отзывы DoS
Исправлено в версии : 1.2.14
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.2.14.

2. Галерея слайд-шоу

Плагин: Галерея слайд-шоу
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.7.4
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.7.4.

3. Дочерний элемент MainWP

Плагин: Детский MainWP
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 4.1.8
Оценка серьезности : средняя

Уязвимость исправлена, поэтому следует обновиться до версии 4.1.8.

4. Каталог продуктов электронной коммерции для WordPress

Плагин: Каталог продуктов электронной коммерции для WordPress
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.0.39
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.0.39.

5. Мультиязычность Falang для WordPress

Плагин: многоязычный Falang для WordPress
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.3.18
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.18.

6. Менеджер видеоуроков

Плагин: Менеджер видеоуроков
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.7.2
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.7.2.

7. Проверка орфографии WP

Плагин: Проверка орфографии WP
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 9.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 9.3.

8. Электронная торговля — двухфакторная аутентификация

Плагин: Электронная торговля — двухфакторная аутентификация
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.0.5
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.0.5.

9. Погрузчик МАЗ

Плагин: МАЗ Погрузчик
Уязвимость : произвольное удаление загрузчика через CSRF
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

10. Возрастные ворота

Плагин: Age Gate
Уязвимость : настройки импорта без проверки подлинности
Исправлено в версии : 2.17.1
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.17.1.

11. Дублировать пост

Плагин: Дублировать сообщение
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : 1.2.0
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.2.0.

12. Уведомление

Плагин: Уведомление
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 8.0.0
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 8.0.0.

13. Бизнес-справочник Connections

Плагин: бизнес-справочник Connections
Уязвимость : Admin+ CSV Injection
Исправлено в версии : 9.7
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 9.7.

14. Медиа-теги

Плагин: Медиа-теги
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 28 сентября 2021 г. Удалите и удалите.

15. О поле автора

Плагин: Об авторе Box
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.0.2
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.0.2.

16. Подписки и членство в PayPal

Плагин: Подписки и членство в PayPal
Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
Исправлено в версии : 1.1.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.3.

17. Принимайте пожертвования через PayPal

Плагин: Принимайте пожертвования через PayPal
Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
Исправлено в версии : 1.3.1
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.1.

18. Простые события PayPal

Плагин: Easy PayPal Events
Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
Исправлено в версии : 1.1.2
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.2.

19. Всплывающее окно

Плагин: всплывающее окно
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 2.0.4
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.4.

20. Менеджер задач JS

Плагин: Менеджер задач JS
Уязвимость : установка/активация произвольного плагина без аутентификации
Исправлено в версии : 1.1.9
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.9.

21. Массовое изменение даты и времени

Плагин: массовое изменение даты и времени
Уязвимость : отсутствует авторизация
Исправлено в версии : 1.12
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.12.

22. Формы ниндзя

Плагин: формы ниндзя
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 3.6.4
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.6.4.

23. Экспорт вложений WP

Плагин: Экспорт вложений WP
Уязвимость : неаутентифицированные сообщения скачать
Исправлено в версии : 0.2.4
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 0.2.4.

24. Ползунок текста контента в посте

Плагин: Ползунок текста контента в посте
Уязвимость : Аутентифицированный хранимый межсайтовый скриптинг (XSS)
Исправлено в версии : 6.9
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.9.

25. Импортер демо HashThemes

Плагин: HashThemes Demo Importer
Уязвимость : неправильный контроль доступа к сбросу блога
Исправлено в версии : 1.1.2
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.2.

26. Регистрация в календаре событий

Плагин: Регистрация для календаря событий
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.7.5
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.7.5.

27. Манг Доска WP

Плагин: Mang Board WP
Уязвимость : SQL-инъекция
Исправлено в версии : 1.6.9
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.6.9.

28. Оптинмонстр

Плагин: OptinMonster
Уязвимость : незащищенные конечные точки REST-API
Исправлено в версии : 2.6.5
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.6.5.

29. NextScripts: автопостер социальных сетей

Плагин: NextScripts: Автопостер социальных сетей
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 4.3.21
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.3.21.

30. Лента социальных сообщений Smash Balloon

Плагин: Smash Balloon Social Post Feed
Уязвимость : подписчик + произвольное обновление настроек плагина до сохраненного XSS
Исправлено в версии : 4.0.1
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.0.1.

31. WP-Pro-Викторина

Плагин: WP-Pro-Викторина
Уязвимость : произвольное удаление викторины через CSRF
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 17 июля 2020 г. Удалите и удалите.

32. Контактная форма от Supsystic

Плагин: Контактная форма от Supsystic
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : неизвестное исправление
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

33. WP-Статистика

Плагин: WP-статистика
Уязвимость : CSRF для хранимых межсайтовых сценариев (XSS)
Исправлено в версии : 2.52
Оценка серьезности : высокая

Этот плагин не тестировался с последними 3 основными выпусками WordPress. Возможно, он больше не поддерживается и не поддерживается, а также могут возникнуть проблемы совместимости при использовании с более поздними версиями WordPress.
Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или версия ядра WordPress с известной уязвимостью.

1. Установите плагин iThemes Security Pro.

Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.

2. Включите сканирование сайта для проверки на наличие известных уязвимостей.

Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.

3. Отслеживайте изменения файлов

Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

Получите iThemes Security Pro с круглосуточным мониторингом веб-сайта

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.

  • Сканер сайта на наличие уязвимостей плагинов и тем
  • Обнаружение изменения файла
  • Панель безопасности веб-сайта в режиме реального времени
  • Журналы безопасности WordPress
  • Надежные устройства
  • reCAPTCHA
  • Защита от грубой силы
  • Двухфакторная аутентификация
  • Волшебные ссылки для входа
  • Повышение привилегий
  • Проверка скомпрометированных паролей и отказ

Получите iThemes Security Pro