Отчет об уязвимостях WordPress: октябрь 2021 г., часть 3

Опубликовано: 2021-10-21

Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.

Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Содержание отчета от 20 октября 2021 г.
    Хотите, чтобы этот отчет доставлялся на ваш почтовый ящик каждую неделю?
    Подпишитесь на еженедельную рассылку

    Уязвимости ядра WordPress

    Последняя версия ядра WordPress — 5.8.1 — была выпущена в качестве выпуска безопасности и обслуживания. Рекомендуется всегда использовать последнюю версию ядра WordPress!

    Уязвимости плагинов WordPress

    В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

    1. WPSchoolPress

    Плагин: WPSchoolPress
    Уязвимость : множественные межсайтовые сценарии, хранящиеся администратором+
    Исправлено в версии : 2.1.17
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.17.

    Плагин: WPSchoolPress
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 2.1.10
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.10.

    Плагин: WPSchoolPress
    Уязвимость : множественные SQL-инъекции с проверкой подлинности
    Исправлено в версии : 2.1.10
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.10.

    2. Мультивендор YITH WooCommerce

    Плагин: Squaretype MYITH WooCommerce Multi Vendor
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 3.8.1
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.8.1.

    3. Принт-О-Матик

    Плагин: Print-O-Matic
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : 2.0.3
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.3.

    4. Круговая регистрация

    Плагин: Регистрация пирога
    Уязвимость : SQL-инъекция без проверки подлинности
    Исправлено в версии : 3.7.1.6
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому следует обновиться до версии 3.7.1.6.

    Плагин: Регистрация пирога
    Уязвимость : SQL-инъекция без проверки подлинности
    Исправлено в версии : 3.7.1.6
    Оценка серьезности : критическая

    Уязвимость исправлена, поэтому следует обновиться до версии 3.7.1.6.

    5. Партнерские купоны для WooCommerce

    Плагин: Партнерские купоны для WooCommerce
    Уязвимость : произвольное удаление реферальных посещений через CSRF
    Исправлено в версии : 4.11.3.4
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому следует обновиться до версии 4.11.3.4.

    6. Погрузчик МАЗ

    Плагин: МАЗ Погрузчик
    Уязвимость : Contributor+ SQL Injection
    Исправлено в версии : 1.3.3
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.3.

    7. Текст нижнего колонтитула витрины

    Плагин: Текст нижнего колонтитула витрины
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : средняя

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 6 октября 2021 г. Удалите и удалите.

    8. Инструмент викторины Lite

    Плагин: Quiz Tool Lite
    Уязвимость : множественные межсайтовые сценарии, хранящиеся администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 28 сентября 2021 г. Удалите и удалите.

    9. Qwizcards

    Плагин: Qwizcards
    Уязвимость : Сохраненный межсайтовый скриптинг Admin+
    Исправлено в версии : 3.62
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.62.

    10. Локо Переводчик

    Плагин: Loco Translate
    Уязвимость : аутентифицированная инъекция PHP-кода
    Исправлено в версии : 2.5.4
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.5.4.

    11. iPanorama 360 WordPress Virtual Tour Builder

    Плагин: iPanorama 360 WordPress Virtual Tour Builder
    Уязвимость : CSRF для сохраненных межсайтовых сценариев
    Исправлено в версии : 1.6.22
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому следует обновиться до версии 1.6.22.

    12. Интерактивное зрение для WordPress

    Плагин: Vision Interactive для WordPress
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : неизвестное исправление
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

    13. Интерактивный конструктор изображений ImageLinks для WordPress

    Плагин: ImageLinks Interactive Image Builder для WordPress
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : неизвестное исправление
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

    14. Плагин WordPress Easy Custom Js и Css

    Плагин: WordPress Easy Custom Js и Css Plugin
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : неизвестное исправление
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

    15. Флипбук iPages для WordPress

    Плагин: iPages Flipbook для WordPress
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 1.4.3
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому следует обновиться до версии 1.4.3.

    16. с 404 по 301

    Плагин: 404 на 301
    Уязвимость : удаление логов через CSRF
    Исправлено в версии : 3.0.9
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.0.9.

    17. После выдоха

    Плагин: После выдоха
    Уязвимость : Расписание произвольного сообщения Contributor+
    Исправлено в версии : 2.6.0
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому следует обновиться до версии 1.6.22.

    18. Изображения заголовка WP

    Плагин: Изображения заголовков WP
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 2.0.1
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.1.

    19. Подписки и членство в PayPal

    Плагин: Подписки и членство в PayPal
    Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 30 сентября 2021 г. Удалите и удалите.

    20. Принимайте пожертвования через PayPal

    Плагин: Принимайте пожертвования через PayPal
    Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
    Исправлено в версии : 1.3.1
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.1.

    21. События PayPal

    Плагин: События PayPal
    Уязвимость : отраженный межсайтовый скриптинг через параметр страницы
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 30 сентября 2021 г. Удалите и удалите.

    22. Менеджер кода верхнего колонтитула

    Плагин: Header Footer Code Manager
    Уязвимость : Admin+ SQL-инъекции
    Исправлено в версии : 1.1.14
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.14.

    23. wpDiscuz

    Плагин: wpDiscuz
    Уязвимость : добавление/редактирование/удаление произвольного комментария через CSRF
    Исправлено в версии : 7.3.4
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 7.3.4.

    24. Облегченная 3D-печать

    Плагин: 3D Print Lite
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 1.9.1.6
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.9.1.6.

    25. Форум Асгароса

    Плагин: Форум Асгароса
    Уязвимость : перенаправление удаления через CSRF
    Исправлено в версии : 1.15.13
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.15.13.

    26. WP SEO редирект 301

    Плагин: WP SEO Redirect 301
    Уязвимость : перенаправление удаления через CSRF
    Исправлено в версии : 2.3.2
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.3.2.

    27. WCFM — внешний интерфейс для WooCommerce

    Плагин: WCFM — Frontend Manager для WooCommerce
    Уязвимость : клиент/подписчик + SQL-инъекция
    Исправлено в версии : 6.5.12
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому следует обновиться до версии 6.5.12.

    28. Партнерский менеджер

    Плагин: Партнерский менеджер
    Уязвимость : Admin+ SQL-инъекции
    Исправлено в версии : 2.8.7
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.8.7.

    29. Похожие посты

    Плагин: Похожие сообщения
    Уязвимость : Admin+ Выполнение произвольного PHP-кода
    Исправлено в версии : 3.1.6
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.1.6.

    30. Таблица продуктов WooCommerce

    Плагин: Таблица продуктов WooCommerce
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 1.0.4
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.0.4.

    31. Менеджер по скидкам на товары

    Плагин: Менеджер скидок на товары
    Уязвимость : отраженный межсайтовый скриптинг
    Исправлено в версии : 3.4.5
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.4.5.

    32. Конструктор отзывов

    Плагин: Конструктор отзывов
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : 1.6.0
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 1.6.0.

    33. Бризы

    Плагин: Бризи
    Уязвимость : неправильная авторизация для публикации модификации
    Исправлено в версии : 2.3.12
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.3.12.

    Плагин: Бризи
    Уязвимость : Аутентифицированный сохраненный межсайтовый скриптинг
    Исправлено в версии : 2.3.12
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.3.12.

    Плагин: Бризи
    Уязвимость : загрузка файла с проверкой подлинности и обход пути
    Исправлено в версии : 2.3.12
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.3.12.

    34. Красочные категории

    Плагин: Красочные категории
    Уязвимость : обновление произвольных цветов через CSRF
    Исправлено в версии : 2.0.15
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.15.

    35. Самый быстрый кеш WP

    Плагин: WP Самый быстрый кэш
    Уязвимость : подписчик + SQL-инъекция
    Исправлено в версии : 0.9.5
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 0.9.5.

    Плагин: WP Самый быстрый кэш
    Уязвимость : CSRF для сохраненных межсайтовых сценариев
    Исправлено в версии : 0.9.5
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 0.9.5.

    36. Бизнес-менеджер

    Плагин: Бизнес-менеджер
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : неизвестное исправление
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

    37. Доска объявлений Ванила

    Плагин: Job Board Vanila
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    38. Список вакансий WpGenius

    Плагин: Список вакансий WpGenius
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    39. Менеджер по работе

    Плагин: Менеджер заданий
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    40. Портал вакансий

    Плагин: Портал вакансий
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    41. Кросс-постер MyBB

    Плагин: MyBB Cross-Poster
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    42. Уведомления администратора KJM

    Плагин: уведомления администратора KJM
    Уязвимость : неправильная авторизация для публикации модификации
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин закрыт 13 октября 2021 г. Удалите и удалите.

    43. ХАЛ

    Плагин: HAL
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : 2.2
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 2.2.

    44. Авторская био коробка

    Плагин: Авторская био коробка
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : 3.4.0
    Оценка серьезности : низкая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.4.0.

    45. WordPress + Microsoft Office 365

    Плагин: WordPress + Microsoft Office 365
    Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
    Исправлено в версии : 15.4
    Оценка серьезности : критическая

    Уязвимость исправлена, поэтому вам следует обновиться до версии 15.4.

    46. ​​Молодёжный опрос

    Плагин: YOP Опрос
    Уязвимость : автор + хранит межсайтовый скриптинг через модуль опций
    Исправлено в версии : 6.3.1
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 6.3.1.

    Плагин: YOP Опрос
    Уязвимость : Автор+ хранит межсайтовые скрипты через модуль предварительного просмотра
    Исправлено в версии : 6.3.1
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 6.3.1.

    47. Действительно импортер вакансий

    Плагин: Действительно импортер вакансий
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : высокая

    Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 14 октября 2021 года. Удалите и удалите.

    48. MPL-Publisher — Самостоятельно опубликуйте свою книгу и электронную книгу

    Плагин: MPL-Publisher — самостоятельно опубликуйте свою книгу и электронную книгу
    Уязвимость : межсайтовый скриптинг, хранимый администратором+
    Исправлено в версии : неизвестное исправление
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

    49. JobBoardWP

    Плагин: JobBoardWP
    Уязвимость : неправильная авторизация для публикации модификации
    Версия исправлена : неизвестное исправление — плагин закрыт
    Оценка серьезности : низкая

    Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 14 октября 2021 года. Удалите и удалите.

    Уязвимости темы WordPress

    1. Современный блог Squaretype

    Тема: Современный блог Squaretype
    Уязвимость : Раскрытие личных/расписанных сообщений, не прошедших проверку подлинности
    Исправлено в версии : 3.0.4
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновиться до версии 3.0.4.

    Как защитить свой сайт WordPress от уязвимых плагинов и тем

    Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или версия ядра WordPress с известной уязвимостью.

    1. Ежедневно сканируйте известные уязвимости веб-сайтов

    Плагин iThemes Security Pro сканирует сайты WordPress по причине №1 взлома: устаревшие плагины и темы с известными уязвимостями.

    2. Автоматическое обновление до безопасных версий

    Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.

    3. Отслеживайте изменения файлов

    Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

    Получите iThemes Security Pro с круглосуточным мониторингом веб-сайта

    iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.

    • Сканер сайта на наличие уязвимостей плагинов и тем
    • Обнаружение изменения файла
    • Панель безопасности веб-сайта в режиме реального времени
    • Журналы безопасности WordPress
    • Надежные устройства
    • reCAPTCHA
    • Защита от грубой силы
    • Двухфакторная аутентификация
    • Волшебные ссылки для входа
    • Повышение привилегий
    • Проверка скомпрометированных паролей и отказ

    Получите iThemes Security Pro