Уязвимые темы и плагины WordPress

Опубликовано: 2021-09-07

Введение :

Основная причина взлома сайта WordPress — уязвимые плагины и темы. Эти уязвимые плагины или темы нарушают работу веб-сайта, что делает его уязвимым для хакеров. Взломанный веб-сайт может вызвать серьезные проблемы, такие как программы-вымогатели и утечка данных, что приведет к финансовым потерям для бренда.

В этом отчете мы упомянули уязвимые плагины и темы, активные в настоящее время по состоянию на август 2021 года. Каждый плагин или тема будет иметь низкий, средний, высокий или критический рейтинг в зависимости от серьезности.

В разделе ниже мы упомянули названия каждого плагина и темы, которые могут вызвать серьезные проблемы с вашим сайтом. Каждый подключаемый модуль или тема содержит тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

Плагин: 1. русий

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Серьезность: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 2. WP-фоны Lite

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 3. Контрольный вопрос WP

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 4. Event Espresso 4 Decaf – Регистрация на мероприятие Продажа билетов на мероприятие

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 5. Фотогалерея WordPress — Галерея изображений

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 6. Opal Estate

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 7. Синхронизация с Etsy Marketplace из WooCommerce

  • Уязвимость: обход RCSRF
  • Исправлено в версии: 3.3.2
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.3.2.

Плагин: 8. ЛУЧИ Сетка

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 9. Продать медиа

  • Уязвимость: обход CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 10. Простая электронная коммерция

  • Уязвимость: произвольная загрузка файлов
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: критическая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 11. WP Курсы LMS

  • Уязвимость: аутентифицированный сохраненный XSS с помощью кода для встраивания видео
  • Исправлено в версии: 2.0.44
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.44.

Плагин: Курсы WP LMS

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 2.0.44
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.44.

Плагин: 12. CBX Bookmark & ​​Favorite

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 1.6.9
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.6.9.

Плагин: 13. Шлюз постоплаты для WooCommerce

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 3.2.1
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.2.1.

Плагин: 14. Автоматические ссылки Amazon

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 4.6.20
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.6.20.

Плагин: 15. Карусель постов

  • Уязвимость: несанкционированные вызовы AJAX
  • Исправлено в версии: 2.3.5
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.3.5.

Ошибки на вашем сайте WordPress? Helpbot может помочь вам исправить любые ошибки на вашем сайте. Посетите наш блог и узнайте больше о том, как исправить ошибки на своем веб-сайте WordPress, а также ознакомьтесь с нашими услугами по обслуживанию и разработке WordPress.

Helpbot

Плагин: 16. Лента социальных сообщений Smash Balloon

  • Уязвимость: неаутентифицированный сохраненный XSS
  • Исправлено в версии: 2.19.2
  • Оценка серьезности: критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.19.2.

Плагин: 17. Остановить перечисление пользователей

  • Уязвимость: обход REST API
  • Исправлено в версии: 1.3.9
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.9.

Плагин: 18. Флаги языковой панели

  • Уязвимость: CSRF для сохраненного XSS
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 19. Электронная почта Артиллерия

  • Уязвимость: CSRF для сохраненного XSS
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: Электронная почта Артиллерия

  • Уязвимость: многократный отраженный межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: Электронная почта Артиллерия

  • Уязвимость: множественные SQL-инъекции с проверкой подлинности
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: Электронная почта Артиллерия

  • Уязвимость: произвольная загрузка файлов
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 20. SEOPress 5.0.0

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: 5.0.4
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.0.4.

Плагин: 21. SP Project & Document Manager

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 4.26
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.26.

Плагин: SP Project & Document Manager

  • Уязвимость: загрузка аутентифицированной оболочки
  • Исправлено в версии: 4.22
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.22.

Плагин: 22. Расширенная система билетов WordPress

  • Уязвимость: Аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: 1.0.64
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.0.64.

Плагин: 23. WPHEKA Запрос котировок

  • Уязвимость: обход CSRF
  • Исправлено в версии: 1.3
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.

Плагин: 24. WAll 404 Редирект на домашнюю страницу

  • Уязвимость: Аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: 2.1
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.

Плагин: 25. Просмотрщик файлов

  • Уязвимость: произвольная загрузка/удаление файлов через CSRF
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: критическая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 26. Электронная коммерция Shopp

  • Уязвимость: загрузка произвольного файла без проверки подлинности
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: критическая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 27. Календарь концертов MF

  • Уязвимость: отраженный межсайтовый скриптинг (XSS)
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 28. BuddyPress

  • Уязвимость: раскрытие ключа активации
  • Исправлено в версии: 9.1.1
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 9.1.1.

Плагин: BuddyPress

  • Уязвимость: SQL-инъекции
  • Исправлено в версии: 9.1.1
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 9.1.1.

Плагин: 29. Джок сейчас в эфире

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: 5.6.3
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому следует обновиться до версии 5.6.3.

Плагин: Джок сейчас в эфире

  • Уязвимость: произвольное обновление настроек плагина через CSRF
  • Исправлено в версии: 5.6.2
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому следует обновиться до версии 5.6.2.

Плагин: Джок сейчас в эфире

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 5.6.2
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому следует обновиться до версии 5.6.2.

Плагин: 30. ThinkTwit

  • Уязвимость: Аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: 1.7.1
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.7.1.

Плагин: 31. Корзина и магазин электронной коммерции

  • Уязвимость: CSRF для сохраненных межсайтовых сценариев
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 32. Гутенслайдер

  • Уязвимость: Contributor+ Stored XSS
  • Исправлено в версии: 5.2.0
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.2.0.

Плагин: 33. Предварительный просмотр визуальных ссылок

  • Уязвимость: несанкционированные вызовы AJAX
  • Исправлено в версии: 2.2.3
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.2.3.

Плагин: 34. Распечатать мой блог

  • Уязвимость: деактивация плагина через CSRF
  • Исправлено в версии: 3.4.2
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.2.3.

Плагин: 35. Заголовок-заставка

  • Уязвимость: Аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: 1.20.8
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.20.8.

Плагин: 36. youForms для WordPress

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 37. Календарь доступности

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: Календарь доступности

  • Уязвимость: SQL-инъекция с проверкой подлинности
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: высокая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 38. WP Mapa Politico Espana

  • Уязвимость: аутентифицированный сохраненный XSS
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 39. Виджет Alojapro

  • Уязвимость: аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 40. Ю Шан

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 41. Диалог WP

  • Уязвимость: аутентифицированный сохраненный межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: низкая

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 42. Пожертвовать с помощью QRCode

  • Уязвимость: подписчик + хранимый межсайтовый скриптинг
  • Исправлено в версии: неизвестное исправление
  • Оценка серьезности: средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

Плагин: 43. Мобильное меню WP

  • Уязвимость: отраженный межсайтовый скриптинг (XSS)
  • Исправлено в версии: 2.8.2.3
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому следует обновиться до версии 2.8.2.3.

Плагин: 44. Контактная форма W3SCloud 7 для Zoho CRM

  • Уязвимость: отраженный межсайтовый скриптинг (XSS)
  • Исправлено в версии: 2.1.0
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.0.

Плагин: 45. Erident Custom Login and Dashboard

  • Уязвимость: Аутентифицированный хранимый межсайтовый скриптинг (XSS)
  • Исправлено в версии: 3.5.9
  • Оценка серьезности: низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.5.9.

Плагин: 46. WP Cerber Security

  • Уязвимость: обход защиты Rest-API
  • Исправлено в версии: 8.9.3
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 8.9.3.

Плагин: WP Cerber Security

  • Уязвимость: обход аутентификации 2FA
  • Исправлено в версии: 8.9.3
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 8.9.3.

Плагин: 47. Flagallery Photo Portfolio

  • Уязвимость: раскрытие полного пути
  • Исправлено в версии: 4.25
  • Оценка серьезности: средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.25.

Плагин: 48. Галерея альбомов GRAND Flash

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 1.67
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.67.

Плагин: Галерея альбомов GRAND Flash 0.55

  • Уязвимость: lib/hitcounter.php pid-параметр SQL-инъекция
  • Исправлено в версии: 0.60
  • Оценка серьезности:

Уязвимость исправлена, поэтому вам следует обновиться до версии 0.60.

Плагин: Галерея альбомов GRAND Flash

  • Уязвимость: отраженный межсайтовый скриптинг через параметр скина wp-admin/admin.php
  • Исправлено в версии: 1.76
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.76.

Плагин: Галерея альбомов GRAND Flash 1.9.0 и 2.0.0

  • Уязвимость: множественные уязвимости
  • Исправлено в версии: 2.10
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.10.

Плагин: 49. Двусторонние видеозвонки и случайный чат

  • Уязвимость: отраженный межсайтовый скриптинг
  • Исправлено в версии: 5.2.8
  • Оценка серьезности: высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.2.8.

Вывод :

Если на вашем веб-сайте WordPress есть какие-либо из этих 49 уязвимых плагинов, убедитесь, что вы удалили их как можно скорее или обновили до безопасной версии. Иногда бывает сложно отслеживать плагины на вашем сайте. Такие инструменты, как iThemes Security Pro, могут помочь вам просканировать ваш веб-сайт, чтобы найти какие-либо сбои или уязвимости. Эти инструменты обеспечат безопасность вашего сайта.