امنیت سایت

گزارش آسیب پذیری وردپرس: شهریور 1400

مهندس مقیمی نظرات (0) 107پسندها
گزارش آسیب پذیری وردپرس

گزارش آسیب پذیری وردپرس: شهریور 1400

در گزارش آسیب پذیری وردپرس ویژه شهریور ماه شما را با افزونه های مشکل دار آشنا می کنیم تا خیلی سریعتر بتوانید نسبت به امن سازی وردپرس اقدام کنید.

یکی از دلایل ویروسی شدن وب سایت های وردپرسی وجود باگ ها( اشکالات برنامه نویسی ) در افزونه ها و قالب های وردپرسی هست با اطلاع از گزارش آسیب پذیری وردپرس قالب ها و افزونه های مشکل دار و درجه آسیب پذیری آنها می توان تا حد قابل توجهی از هک شدن و ویروسی شدن وب سایت خود جلوگیری کنیم.

ما در سلسله گزارش آسیب پذیری وردپرس ماهانه نسبت به معرفی افزونه ها و قالب های مشکل دار سعی در ایجاد آگاهی لازم به کاربران هستیم تا کمی دغدغه های مربوط به آسیب های ناشی از هک و ویروسی شدن وب سایت جلوگیری کنیم.

 

گزارش آسیب پذیری وردپرس

آسیب پذیری های افزونه وردپرس

1. rucy

پلاگین: rucy
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

2. WP-Backgrounds Lite

پلاگین: WP-Backgrounds Lite
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

3. WP Security Question

پلاگین: WP Security Question
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

4. Event Espresso 4 Decaf – Event Registration Event Ticketing

پلاگین: WEvent Espresso 4 Decaf – Event Registration Event Ticketing
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

5. WordPress Photo Gallery – Image Gallery

پلاگین: WordPress Photo Gallery – Image Gallery
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

6. Opal Estate

پلاگین: Opal Estate
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

7. Sync to Etsy Marketplace from WooCommerce

پلاگین: Sync to Etsy Marketplace from WooCommerce
آسیب پذیری: RCSRF Bypass
نسخه اصلاح شده: 3.3.2
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.3.2.

8. RAYS Grid

پلاگین: RAYS Grid
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

9. Sell Media

پلاگین: Sell Media
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

10. Simple eCommerce

پلاگین: Simple eCommerce
آسیب پذیری: Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

11. WP Courses LMS

پلاگین: WP Courses LMS
آسیب پذیری: Authenticated Stored XSS via Video Embed Code
نسخه اصلاح شده: 2.0.44
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.0.44.
پلاگین: WP Courses LMS
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 2.0.44
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.0.44.

12. CBX Bookmark & Favorite

پلاگین: CBX Bookmark & Favorite
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 1.6.9
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.6.9.

13. Afterpay Gateway for WooCommerce

پلاگین: Afterpay Gateway for WooCommerce
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 3.2.1
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.2.1.

14. Amazon Auto Links

پلاگین: Amazon Auto Links
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 4.6.20
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.6.20.

15. Post Carousel

پلاگین: Post Carousel
آسیب پذیری: Unauthorised AJAX Calls
نسخه اصلاح شده: 2.3.5
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.3.5.

16. Smash Balloon Social Post Feed

پلاگین: Smash Balloon Social Post Feed
آسیب پذیری: Unauthenticated Stored XSS
نسخه اصلاح شده: 2.19.2
درجه آسیب پذیری: خطرناک

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.19.2.

17. Stop User Enumeration

پلاگین: Stop User Enumeration
آسیب پذیری: REST API Bypass
نسخه اصلاح شده: 1.3.9
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.3.9.

18. Language Bar Flags

پلاگین: Language Bar Flags
آسیب پذیری: CSRF to Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

19. Email Artillery

پلاگین: Email Artillery
آسیب پذیری: CSRF to Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Multiple Reflected Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Multiple Authenticated SQL Injections
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

20. SEOPress 5.0.0

پلاگین: SEOPress 5.0.0
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: 5.0.4
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.0.4.

21. SP Project & Document Manager

پلاگین: SP Project & Document Manager
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 4.26
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.26.
پلاگین: SP Project & Document Manager
آسیب پذیری: Authenticated Shell Upload
نسخه اصلاح شده: 4.22
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.22.

22. WordPress Advanced Ticket System

پلاگین: WordPress Advanced Ticket System
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.0.64
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.0.64.

23. WPHEKA Request For Quote

پلاگین: WPHEKA Request For Quote
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: 1.3
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.3.

24. WAll 404 Redirect to Homepage

پلاگین: All 404 Redirect to Homepage
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.1
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.1.

25. Fileviewer

پلاگین: Fileviewer
آسیب پذیری: Arbitrary File Upload/Deletion via CSRF
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

26. Shopp eCommerce

پلاگین: Shopp eCommerce
آسیب پذیری: Unauthenticated Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

27. MF Gig Calendar

پلاگین: MF Gig Calendar
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

28. BuddyPress

پلاگین: BuddyPress
آسیب پذیری: Activation Key Disclosure
نسخه اصلاح شده: 9.1.1
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 9.1.1.
پلاگین: BuddyPress
آسیب پذیری: SQL Injections
نسخه اصلاح شده: 9.1.1
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 9.1.1.

29. Jock on air now

پلاگین: Jock on air now
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: 5.6.3
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.3.
پلاگین: Jock on air now
آسیب پذیری: Arbitrary پلاگین’s Settings Update via CSRF
نسخه اصلاح شده: 5.6.2
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.2.
پلاگین: Jock on air now
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 5.6.2
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.2.

30. ThinkTwit

پلاگین: ThinkTwit
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.7.1
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.7.1.

31. Shopping Cart & eCommerce Store

پلاگین: Shopping Cart & eCommerce Store
آسیب پذیری: CSRF to Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

32. Gutenslider

پلاگین: Gutenslider
آسیب پذیری: Contributor+ Stored XSS
نسخه اصلاح شده: 5.2.0
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.2.0.

33. Visual Link Preview

پلاگین: Visual Link Preview
آسیب پذیری: Unauthorised AJAX Calls
نسخه اصلاح شده: 2.2.3
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.2.3.

34. Print My Blog

پلاگین: Print My Blog
آسیب پذیری: پلاگین Deactivation via CSRF
نسخه اصلاح شده: 3.4.2
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.2.3.

35. Splash Header

پلاگین: Splash Header
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.20.8
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.20.8.

36. youForms for WordPress

پلاگین: youForms for WordPress
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

37. Availability Calendar

پلاگین: Availability Calendar
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Availability Calendar
آسیب پذیری: Authenticated SQL Injection
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

38. WP Mapa Politico Espana

پلاگین: WP Mapa Politico Espana
آسیب پذیری: Authenticated Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

39. Alojapro Widget

پلاگین: Alojapro Widget
آسیب پذیری: Authenticated Stored Cross-Site Scripting(XSS)
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

40. You Shang

پلاگین: You Shang
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

41. WP Dialog

پلاگین: WP Dialog
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

42. Donate With QRCode

پلاگین: Donate With QRCode
آسیب پذیری: Subscriber+ Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط

این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.

43. WP Mobile Menu

پلاگین: Titan Framework – WP Mobile Menu
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.8.2.3
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.8.2.3.

44. W3SCloud Contact Form 7 to Zoho CRM

پلاگین: Titan Framework – W3SCloud Contact Form 7 to Zoho CRM
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.1.0
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.1.0.

45. Erident Custom Login and Dashboard

پلاگین: Erident Custom Login and Dashboard
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 3.5.9
درجه آسیب پذیری: کم

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.5.9.

46. WP Cerber Security

پلاگین: WP Cerber Security
آسیب پذیری: Rest-API Protection Bypass
نسخه اصلاح شده: 8.9.3
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 38.9.3.
پلاگین: WP Cerber Security
آسیب پذیری: 2FA Authentication Bypass
نسخه اصلاح شده: 8.9.3
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 8.9.3.

47. Flagallery Photo Portfolio

پلاگین: Flagallery Photo Portfolio
آسیب پذیری: Full Path Disclosure
نسخه اصلاح شده: 4.25
درجه آسیب پذیری: متوسط

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.25.

48. GRAND Flash Album Gallery

پلاگین: GRAND Flash Album Gallery
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 1.67
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.67.
پلاگین: GRAND Flash Album Gallery 0.55
آسیب پذیری: lib/hitcounter.php pid Parameter SQL Injection
نسخه اصلاح شده: 0.60
درجه آسیب پذیری:

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 0.60.
پلاگین: GRAND Flash Album Gallery
آسیب پذیری: Reflected Cross-Site Scripting via wp-admin/admin.php skin parameter
نسخه اصلاح شده: 1.76
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.76.
پلاگین: GRAND Flash Album Gallery 1.9.0 & 2.0.0
آسیب پذیری: Multiple Vulnerabilities
نسخه اصلاح شده: 2.10
درجه آسیب پذیری:

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.10.

49. 2Way VideoCalls and Random Chat

پلاگین: 2Way VideoCalls and Random Chat
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 5.2.8
درجه آسیب پذیری: بالا

این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.2.8.

گزارش آسیب پذیری وردپرس

آسیب پذیری های قالب های وردپرس

این ماه هیچ آسیب پذیری جدیدی در زمینه قالب وردپرس فاش نشده است.

 

 

یادداشتی در مورد افشای آسیب پذیری ها :
شاید برای شما این سوال پیش آمده باشد که افشای اطلاعات آسیب پذیری یا گزارش آسیب پذیری وردپرس به هکر ها اجازه اعمال خطرناک را می دهد لازم به ذکر است قبل از افشای گزارش آسیب پذیری وردپرس به توسعه دهنده گزارش آسیب پذیری داده می شود و پس از اصلاح آن و یا اینکه در صورت عدم اصلاح، آن گزارش در معرض دید عموم قرار می گیرد پس بنابراین افشای اطلاعات تاثیری در هک شدن ندارد

روش گزارش آسیب پذیری وردپرس تنها راهی است که محقق امنیتی می تواند نسبت به رفع مشکل توسعه دهنده را تحت فشار قرار دهد تا مشکل را رفع نمایند

اما سوال پیش می آید که چگونه وردپرس خود را در مقابل این آسیب پذیری ها امن کنیم ؟

در مقاله بعدی نسبت به امن سازی وردپرس صحبت خواهیم کرد

در مقاله چینی شدن نتایج گوگل نوعی ویروس را بشناسید که چه اتفاقی در سایت افتاده است و راه حل آن را فرا بگیرید
 اینجا کلیک کنید

خوشحال می شویم نظرات خود را در رابطه با گزارش آسیب پذیری وردپرس ارسال کنید تا بتوانیم اشکالات و پیشنهادات شما را جامه عمل بپوشانیم.

نویسنده

مهندس مقیمی

از 15 سالگی شروع به کار کردم تجارب بسیار زیادی در زمینه های مختلف بدست آوردم و حالا 35 ساله هستم و با برند برسام وب و به همراه همکاران خوبم در حال فعالیت در حوزه دیجیتال مارکتینگ هستیم. معمولا مشتریان قدیمی ما را به دوستان خود معرفی می کنند

سایر نوشته ها

امنیت سایت
چینی شدن سایت در گوگل
مهندس مقیمی

چینی شدن سایت در گوگل!

با چینی شدن سایت در گوگل چه اتفاقی می افتد؟ اما آیا واقعا می...
امنیت سایت
امنیت سایت چیست
مهندس مقیمی

امنیت سایت چیست؟

امنیت سایت چیست؟ امنیت سایت چیست : به شرایط و وضعیتی گفته می شود...

در این مورد نظر بگذارید

  • رتبه

مزایا

+
افزودن

معایب

+
افزودن