گزارش آسیب پذیری وردپرس: شهریور 1400
در گزارش آسیب پذیری وردپرس ویژه شهریور ماه شما را با افزونه های مشکل دار آشنا می کنیم تا خیلی سریعتر بتوانید نسبت به امن سازی وردپرس اقدام کنید.
یکی از دلایل ویروسی شدن وب سایت های وردپرسی وجود باگ ها( اشکالات برنامه نویسی ) در افزونه ها و قالب های وردپرسی هست با اطلاع از گزارش آسیب پذیری وردپرس قالب ها و افزونه های مشکل دار و درجه آسیب پذیری آنها می توان تا حد قابل توجهی از هک شدن و ویروسی شدن وب سایت خود جلوگیری کنیم.
ما در سلسله گزارش آسیب پذیری وردپرس ماهانه نسبت به معرفی افزونه ها و قالب های مشکل دار سعی در ایجاد آگاهی لازم به کاربران هستیم تا کمی دغدغه های مربوط به آسیب های ناشی از هک و ویروسی شدن وب سایت جلوگیری کنیم.
آسیب پذیری های افزونه وردپرس
1. rucy
پلاگین: rucy
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
2. WP-Backgrounds Lite
پلاگین: WP-Backgrounds Lite
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
3. WP Security Question
پلاگین: WP Security Question
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
4. Event Espresso 4 Decaf – Event Registration Event Ticketing
پلاگین: WEvent Espresso 4 Decaf – Event Registration Event Ticketing
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
5. WordPress Photo Gallery – Image Gallery
پلاگین: WordPress Photo Gallery – Image Gallery
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
6. Opal Estate
پلاگین: Opal Estate
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
7. Sync to Etsy Marketplace from WooCommerce
پلاگین: Sync to Etsy Marketplace from WooCommerce
آسیب پذیری: RCSRF Bypass
نسخه اصلاح شده: 3.3.2
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.3.2.
8. RAYS Grid
پلاگین: RAYS Grid
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
9. Sell Media
پلاگین: Sell Media
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
10. Simple eCommerce
پلاگین: Simple eCommerce
آسیب پذیری: Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
11. WP Courses LMS
پلاگین: WP Courses LMS
آسیب پذیری: Authenticated Stored XSS via Video Embed Code
نسخه اصلاح شده: 2.0.44
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.0.44.
پلاگین: WP Courses LMS
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 2.0.44
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.0.44.
12. CBX Bookmark & Favorite
پلاگین: CBX Bookmark & Favorite
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 1.6.9
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.6.9.
13. Afterpay Gateway for WooCommerce
پلاگین: Afterpay Gateway for WooCommerce
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 3.2.1
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.2.1.
14. Amazon Auto Links
پلاگین: Amazon Auto Links
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 4.6.20
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.6.20.
15. Post Carousel
پلاگین: Post Carousel
آسیب پذیری: Unauthorised AJAX Calls
نسخه اصلاح شده: 2.3.5
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.3.5.
16. Smash Balloon Social Post Feed
پلاگین: Smash Balloon Social Post Feed
آسیب پذیری: Unauthenticated Stored XSS
نسخه اصلاح شده: 2.19.2
درجه آسیب پذیری: خطرناک
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.19.2.
17. Stop User Enumeration
پلاگین: Stop User Enumeration
آسیب پذیری: REST API Bypass
نسخه اصلاح شده: 1.3.9
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.3.9.
18. Language Bar Flags
پلاگین: Language Bar Flags
آسیب پذیری: CSRF to Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
19. Email Artillery
پلاگین: Email Artillery
آسیب پذیری: CSRF to Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Multiple Reflected Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Multiple Authenticated SQL Injections
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Email Artillery
آسیب پذیری: Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
20. SEOPress 5.0.0
پلاگین: SEOPress 5.0.0
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: 5.0.4
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.0.4.
21. SP Project & Document Manager
پلاگین: SP Project & Document Manager
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 4.26
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.26.
پلاگین: SP Project & Document Manager
آسیب پذیری: Authenticated Shell Upload
نسخه اصلاح شده: 4.22
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.22.
22. WordPress Advanced Ticket System
پلاگین: WordPress Advanced Ticket System
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.0.64
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.0.64.
23. WPHEKA Request For Quote
پلاگین: WPHEKA Request For Quote
آسیب پذیری: CSRF Bypass
نسخه اصلاح شده: 1.3
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.3.
24. WAll 404 Redirect to Homepage
پلاگین: All 404 Redirect to Homepage
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.1
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.1.
25. Fileviewer
پلاگین: Fileviewer
آسیب پذیری: Arbitrary File Upload/Deletion via CSRF
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
26. Shopp eCommerce
پلاگین: Shopp eCommerce
آسیب پذیری: Unauthenticated Arbitrary File Upload
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: خطرناک
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
27. MF Gig Calendar
پلاگین: MF Gig Calendar
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
28. BuddyPress
پلاگین: BuddyPress
آسیب پذیری: Activation Key Disclosure
نسخه اصلاح شده: 9.1.1
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 9.1.1.
پلاگین: BuddyPress
آسیب پذیری: SQL Injections
نسخه اصلاح شده: 9.1.1
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 9.1.1.
29. Jock on air now
پلاگین: Jock on air now
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: 5.6.3
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.3.
پلاگین: Jock on air now
آسیب پذیری: Arbitrary پلاگین’s Settings Update via CSRF
نسخه اصلاح شده: 5.6.2
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.2.
پلاگین: Jock on air now
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 5.6.2
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.6.2.
30. ThinkTwit
پلاگین: ThinkTwit
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.7.1
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.7.1.
31. Shopping Cart & eCommerce Store
پلاگین: Shopping Cart & eCommerce Store
آسیب پذیری: CSRF to Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
32. Gutenslider
پلاگین: Gutenslider
آسیب پذیری: Contributor+ Stored XSS
نسخه اصلاح شده: 5.2.0
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.2.0.
33. Visual Link Preview
پلاگین: Visual Link Preview
آسیب پذیری: Unauthorised AJAX Calls
نسخه اصلاح شده: 2.2.3
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.2.3.
34. Print My Blog
پلاگین: Print My Blog
آسیب پذیری: پلاگین Deactivation via CSRF
نسخه اصلاح شده: 3.4.2
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.2.3.
35. Splash Header
پلاگین: Splash Header
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 1.20.8
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.20.8.
36. youForms for WordPress
پلاگین: youForms for WordPress
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
37. Availability Calendar
پلاگین: Availability Calendar
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
پلاگین: Availability Calendar
آسیب پذیری: Authenticated SQL Injection
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: بالا
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
38. WP Mapa Politico Espana
پلاگین: WP Mapa Politico Espana
آسیب پذیری: Authenticated Stored XSS
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
39. Alojapro Widget
پلاگین: Alojapro Widget
آسیب پذیری: Authenticated Stored Cross-Site Scripting(XSS)
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
40. You Shang
پلاگین: You Shang
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
41. WP Dialog
پلاگین: WP Dialog
آسیب پذیری: Authenticated Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: کم
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
42. Donate With QRCode
پلاگین: Donate With QRCode
آسیب پذیری: Subscriber+ Stored Cross-Site Scripting
نسخه اصلاح شده: اصلاح نشده
درجه آسیب پذیری: متوسط
این آسیب پذیری اصلاح نشده است. افزونه را حذف کنید تا نسخه اصلاح شده منتشر شود.
43. WP Mobile Menu
پلاگین: Titan Framework – WP Mobile Menu
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.8.2.3
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.8.2.3.
44. W3SCloud Contact Form 7 to Zoho CRM
پلاگین: Titan Framework – W3SCloud Contact Form 7 to Zoho CRM
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
نسخه اصلاح شده: 2.1.0
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.1.0.
45. Erident Custom Login and Dashboard
پلاگین: Erident Custom Login and Dashboard
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
نسخه اصلاح شده: 3.5.9
درجه آسیب پذیری: کم
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 3.5.9.
46. WP Cerber Security
پلاگین: WP Cerber Security
آسیب پذیری: Rest-API Protection Bypass
نسخه اصلاح شده: 8.9.3
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 38.9.3.
پلاگین: WP Cerber Security
آسیب پذیری: 2FA Authentication Bypass
نسخه اصلاح شده: 8.9.3
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 8.9.3.
47. Flagallery Photo Portfolio
پلاگین: Flagallery Photo Portfolio
آسیب پذیری: Full Path Disclosure
نسخه اصلاح شده: 4.25
درجه آسیب پذیری: متوسط
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 4.25.
48. GRAND Flash Album Gallery
پلاگین: GRAND Flash Album Gallery
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 1.67
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.67.
پلاگین: GRAND Flash Album Gallery 0.55
آسیب پذیری: lib/hitcounter.php pid Parameter SQL Injection
نسخه اصلاح شده: 0.60
درجه آسیب پذیری:
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 0.60.
پلاگین: GRAND Flash Album Gallery
آسیب پذیری: Reflected Cross-Site Scripting via wp-admin/admin.php skin parameter
نسخه اصلاح شده: 1.76
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 1.76.
پلاگین: GRAND Flash Album Gallery 1.9.0 & 2.0.0
آسیب پذیری: Multiple Vulnerabilities
نسخه اصلاح شده: 2.10
درجه آسیب پذیری:
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 2.10.
49. 2Way VideoCalls and Random Chat
پلاگین: 2Way VideoCalls and Random Chat
آسیب پذیری: Reflected Cross-Site Scripting
نسخه اصلاح شده: 5.2.8
درجه آسیب پذیری: بالا
این آسیب پذیری رفع شده است , شما باید بروزرسانی کنید به نسخه 5.2.8.
آسیب پذیری های قالب های وردپرس
یادداشتی در مورد افشای آسیب پذیری ها :
شاید برای شما این سوال پیش آمده باشد که افشای اطلاعات آسیب پذیری یا گزارش آسیب پذیری وردپرس به هکر ها اجازه اعمال خطرناک را می دهد لازم به ذکر است قبل از افشای گزارش آسیب پذیری وردپرس به توسعه دهنده گزارش آسیب پذیری داده می شود و پس از اصلاح آن و یا اینکه در صورت عدم اصلاح، آن گزارش در معرض دید عموم قرار می گیرد پس بنابراین افشای اطلاعات تاثیری در هک شدن ندارد
روش گزارش آسیب پذیری وردپرس تنها راهی است که محقق امنیتی می تواند نسبت به رفع مشکل توسعه دهنده را تحت فشار قرار دهد تا مشکل را رفع نمایند
اما سوال پیش می آید که چگونه وردپرس خود را در مقابل این آسیب پذیری ها امن کنیم ؟
در مقاله بعدی نسبت به امن سازی وردپرس صحبت خواهیم کرد
در مقاله چینی شدن نتایج گوگل نوعی ویروس را بشناسید که چه اتفاقی در سایت افتاده است و راه حل آن را فرا بگیرید
اینجا کلیک کنید
خوشحال می شویم نظرات خود را در رابطه با گزارش آسیب پذیری وردپرس ارسال کنید تا بتوانیم اشکالات و پیشنهادات شما را جامه عمل بپوشانیم.
در این مورد نظر بگذارید