از هفته گذشته، در مجموع 30 آسیب پذیری جدید کشف شد. این آسیب پذیری ها ممکن است بیش از دو میلیون سایت وردپرسی را تحت تأثیر قرار دهند. 28 آسیبپذیری پلاگین با بروزرسانی امنیتی وجود دارد، بنابراین این بهروزرسانیها را اجرا کنید!
علاوه بر این، 2 آسیبپذیری پلاگین با بدون بروزرسانی هنوز موجود است. اگر از یک پلاگین ها غیر ایمن استفاده می کنید، اهداف و مسیر فروشندگان آنها را در یک بروزرسانی امنیتی آن بررسی کنید. فرض کنید هیچ بروزرسانی در راه نیست یا پلاگین آسیبپذیر «بسته» علامتگذاری شده و از قالب رسمی وردپرس و مخازن پلاگین حذف شده است. در این صورت، باید غیرفعال کردن و حذف را به نفع راه حل های جایگزین در نظر بگیرید.
اخبار هسته وردپرس
“Lionel” در 8 آگوست 2023 منتشر شد. این نسخه از وردپرس برای کمک به “ایجاد وب سایت های زیبا و جذاب تر از همیشه” ساخته شده است. موارد جدید را در WordPress 6.3 ببینید.
فراموش نکنید که قبل از نصب وردپرس 6.3 از وب سایت خود به طور کامل نسخه پشتیبان تهیه کنید.
آسیب پذیری های هسته وردپرس – رفع شده
هسته وردپرس زمانی بسیار امن است که به درستی پیکربندی و نگهداری شود. افزونههای آسیبپذیر که توسط صاحبان سایت بهروزرسانی نشدهاند، رایجترین روش حملات به وبسایتهای وردپرسی هس تند. گزارش هفتگی آسیبپذیری وردپرس ما، طراحی شده توسط Patchstack، آسیب پذیری های جدیدی را پوشش می دهد که از گزارش هفته گذشته در افزونه ها، تم ها و/یا هسته وردپرس پدیدار شده اند. هدف ما گسترش آگاهی از تهدیدات امنیتی نوظهور و کمک به شما در تصمیم گیری در مورد اینکه در صورت یافتن نرم افزار آسیب پذیر در وب سایت خود چه کاری انجام دهید، است.
این گزارشها هر چهارشنبه منتشر میشوند و شامل تمام آسیبپذیریهای فعالی است که از دوشنبه از زمان گزارش قبلی توسط Patchstack ردیابی شدهاند. این یک پنجره 48 ساعته باقی میگذارد تا جدیدترین آسیبپذیریهای در حال ظهور قبل از افشای عمومی کامل اصلاح شوند. کاربران iThemes Security Pro به هشدارهای آسیبپذیری که در این پنجره ظاهر میشوند دسترسی دارند.
آسیب پذیری های پلاگین های وردپرس – رفع شده
در این بخش، آسیبپذیریهای پلاگین های وردپرس که اخیراً فاش شده است را خواهید دید که با نسخه جدیدی از سمت توسعه دهنگان آنها رفع شده است. لطفاً اگر از این پلاگین ها استفاده میکنید هر چه سریعتر آن را به روزرسانی نمایید!
این آسیبپذیریها به لطف دوستان ما در Patchstack فاش شده و به نسبت شدت آنها امتیاز داده شده است. فهرست هر پلاگین شامل نوع آسیبپذیری با شماره CVE و درجه شدت CVSS با پیوندهایی به جزئیات فنی بیشتر است. همچنین تعداد سایتهای فعالی که از افزونه استفاده میکنند و نسخه منتشر شده افزونهای که آسیبپذیری را اصلاح میکند را مشاهده خواهید کرد. ما با محبوبترین افزونهها شروع میکنیم که بزرگترین هدف مهاجمان را نشان میدهند.
Advanced Custom Fields
- نامک پلاگین
- advanced-custom-fields
- نصب فعال
- 2,000,000+
- آسیب پذیری
- Authenticated Cross Site Scripting (XSS)
- ورژن امن شده
- 6.1.8
- شدت آسیب پذیری
- متوسط
Duplicate Post
- پلاگین
- Duplicate Post
- نامک پلاگین
- copy-delete-posts
- نصب فعال
- 200,000+
- آسیب پذیری
- Cross Site Request Forgery (CSRF) via AJAX action
- ورژن امن شده
- 1.4.2
- شدت آسیب پذیری
- متوسط
TI WooCommerce Wishlist
- پلاگین
- TI WooCommerce Wishlist
- نامک پلاگین
- ti-woocommerce-wishlist
- نصب فعال
- 100,000+
- آسیب پذیری
- Unauthenticated Blind SQL Injection via Rest API
- ورژن امن شده
- 2.7.4
- شدت آسیب پذیری
- بحرانی
Change WP Admin
- پلاگین
- Change WP Admin Login
- نامک پلاگین
- change-wp-admin-login
- نصب فعال
- 90,000+
- آسیب پذیری
- Secret Login Page Disclosure
- ورژن امن شده
- 1.1.4
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-3604
The Post Grid
- نامک پلاگین
- the-post-grid
- نصب فعال
- 60,000+
- آسیب پذیری
- Cross Site Request Forgery (CSRF) Leading To CSS Change
- ورژن امن شده
- 7.2.8
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-39923
PostX – Gutenberg Post Grid Blocks
- نامک پلاگین
- ultimate-post
- نصب فعال
- 30,000+
- آسیب پذیری
- Reflected Cross Site Scripting (XSS)
- ورژن امن شده
- 3.0.6
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-3992
Media from FTP
- پلاگین
- Media from FTP
- نامک پلاگین
- media-from-ftp
- نصب فعال
- 20,000+
- آسیب پذیری
- Improper Privilege Management
- ورژن امن شده
- 11.16
- شدت آسیب پذیری
- متوسط
Themesflat Addons For Elementor
- نامک پلاگین
- themesflat-addons-for-elementor
- نصب فعال
- 20,000+
- آسیب پذیری
- Unauthenticated PHP Object Injection
- ورژن امن شده
- 2.0.1
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-37390
WP Ultimate CSV Importer
- نامک پلاگین
- wp-ultimate-csv-importer
- نصب فعال
- 20,000+
- آسیب پذیری
- Authenticated Arbitrary Usermeta Update to Privilege Escalation
- ورژن امن شده
- 7.9.9
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-4140
WP Ultimate CSV Importer
- نامک پلاگین
- wp-ultimate-csv-importer
- نصب فعال
- 20,000+
- آسیب پذیری
- Sensitive Information Exposure via Directory Listing
- ورژن امن شده
- 7.9.9
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-4139
WP Ultimate CSV Importer
- نامک پلاگین
- wp-ultimate-csv-importer
- نصب فعال
- 20,000+
- آسیب پذیری
- Authenticated PHP file upload to Remote Code Execution (RCE)
- ورژن امن شده
- 7.9.9
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-4141
WP Ultimate CSV Importer
- نامک پلاگین
- wp-ultimate-csv-importer
- نصب فعال
- 20,000+
- آسیب پذیری
- Authenticated Remote Code Execution (RCE)
- ورژن امن شده
- 7.9.9
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-4142
Booking Package
- پلاگین
- Booking Package
- نامک پلاگین
- booking-package
- نصب فعال
- 10,000+
- آسیب پذیری
- Reflected Cross Site Scripting (XSS)
- ورژن امن شده
- 1.6.02
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-39918
Stripe Payment Plugin for WooCommerce
- نامک پلاگین
- payment-gateway-stripe-and-woocommerce-integration
- نصب فعال
- 10,000+
- آسیب پذیری
- Authentication Bypass
- ورژن امن شده
- 3.7.8
- شدت آسیب پذیری
- بحرانی
- CVE
- 2023-3162
Simple Blog Card
- پلاگین
- Simple Blog Card
- نامک پلاگین
- simple-blog-card
- نصب فعال
- 3,000+
- آسیب پذیری
- Sensitive Data Exposure
- ورژن امن شده
- 1.32
- شدت آسیب پذیری
- متوسط
Simple Blog Card
- پلاگین
- Simple Blog Card
- نامک پلاگین
- simple-blog-card
- نصب فعال
- 3,000+
- آسیب پذیری
- Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
- ورژن امن شده
- 1.31
- شدت آسیب پذیری
- متوسط
Leyka
- پلاگین
- Leyka
- نامک پلاگین
- leyka
- نصب فعال
- 2,000+
- آسیب پذیری
- Reflected Cross Site Scripting (XSS)
- ورژن امن شده
- 3.30.3
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-39314
Photo Gallery by Ays – Responsive Image Gallery
- نامک پلاگین
- gallery-photo-gallery
- نصب فعال
- 1,000+
- آسیب پذیری
- Cross Site Request Forgery (CSRF)
- ورژن امن شده
- 5.2.7
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-39917
Sign-up Sheets
- پلاگین
- Sign-up Sheets
- نامک پلاگین
- sign-up-sheets
- نصب فعال
- 1,000+
- آسیب پذیری
- Cross Site Request Forgery (CSRF)
- ورژن امن شده
- 2.2.9
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-39165
Upload Media By URL
- پلاگین
- Upload Media By URL
- نامک پلاگین
- upload-media-by-url
- نصب فعال
- 1,000+
- آسیب پذیری
- Cross Site Request Forgery (CSRF)
- ورژن امن شده
- 1.0.8
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-3720
Bus Ticket Booking with Seat Reservation
- نامک پلاگین
- bus-ticket-booking-with-seat-reservation
- نصب فعال
- 900+
- آسیب پذیری
- Reflected Cross Site Scripting (XSS)
- ورژن امن شده
- 5.2.4
- شدت آسیب پذیری
- زیاد
- CVE
- 2023-4067
Simple Ticker
- پلاگین
- Simple Ticker
- نامک پلاگین
- simple-ticker
- نصب فعال
- 400+
- آسیب پذیری
- Authenticated (Contributor+) Stored Cross Site Scripting (XSS)
- ورژن امن شده
- 3.06
- شدت آسیب پذیری
- متوسط
Job Board and Recruitment Plugin – JobWP
- نامک پلاگین
- jobwp
- نصب فعال
- 300+
- آسیب پذیری
- Arbitrary File Upload
- ورژن امن شده
- 2.1
- شدت آسیب پذیری
- بحرانی
- CVE
- 2023-29384
wpShopGermany – Protected Shops
- نامک پلاگین
- wpshopgermany-protectedshops
- نصب فعال
- 40+
- آسیب پذیری
- Cross Site Scripting (XSS)
- ورژن امن شده
- 2.1
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-39919
JetElements For Elementor
- پلاگین
- JetElements For Elementor
- نامک پلاگین
- jet-elements
- آسیب پذیری
- Authenticated Remote Code Execution (RCE)
- ورژن امن شده
- 2.6.11
- شدت آسیب پذیری
- بحرانی
- CVE
- 2023-39157
Shop as a Customer for WooCommerce
- پلاگین
- Shop as a Customer for WooCommerce
- نامک پلاگین
- shop-as-a-customer-for-woocommerce
- آسیب پذیری
- Shop Manager+ Privilege Escalation
- ورژن امن شده
- 1.2.4
- شدت آسیب پذیری
- زیاد
Shop as a Customer for WooCommerce
- پلاگین
- Shop as a Customer for WooCommerce
- نامک پلاگین
- shop-as-a-customer-for-woocommerce
- آسیب پذیری
- Subscriber+ Privilege Escalation
- ورژن امن شده
- 1.1.8
- شدت آسیب پذیری
- زیاد
Simple Share Follow Button
- نامک پلاگین
- simple-share-follow-button
- آسیب پذیری
- Authenticated (Contributor+) Stored Cross Site Scripting (XSS) via Shortcode
- ورژن امن شده
- 1.04
- شدت آسیب پذیری
- متوسط
آسیب پذیری های پلاگین های وردپرس – رفع نشده
این بخش حاوی آسیبپذیریهای پلاگین هایی است که برای رفع مشکل آن ها هنوز بروزرسانی ارائه نشده است. تا زمانی که برای این پلاگین ها بروزرسانی امنیتی ارائه نشده است توصیه میکنیم که آن ها را غیرفعال نمایید و اگر پلاگین برای مدت زیادی بروزرسانی نشد توصیه میشود که نسبت به حذف آن اقدام نمایید. همچنین باید افزونههای دائماً اصلاح نشده را که مخزن WordPress.org قفل کرده و «بسته» علامتگذاری کرده است را حذف کنید.
Booster for Woocommerce
- پلاگین
- Booster for WooCommerce
- نامک پلاگین
- woocommerce-jetpack
- نصب فعال
- 60,000+
- آسیب پذیری
- Shop Manager+ Arbitrary Option Update
- ورژن امن شده
- امن نشده
- شدت آسیب پذیری
- زیاد
Front Editor
- نامک پلاگین
- front-editor
- نصب فعال
- 200+
- آسیب پذیری
- Authenticated Stored Cross Site Scripting (XSS)
- ورژن امن شده
- امن نشده
- شدت آسیب پذیری
- متوسط
- CVE
- 2023-1982
آسیب پذیری های قالب های وردپرس
در این بخش، آخرین آسیبپذیریهای قالب های وردپرس را خواهید دید. همان اطلاعاتی را که در بالا برای افزونههای آسیبپذیر ارائه کردیم، مشاهده خواهید کرد و همان توصیهها نیز اعمال میشود. اگر بهروزرسانی امنیتی وجود دارد، فوراً آن را نصب کنید. اگر یک آسیبپذیری در موضوعی که فعالانه استفاده میکنید اصلاح نشده باقی بماند، باید یک قالب جایگزین پیدا کنید. قالب های بروزرسانی نشده و مواردی که در مخزن قالب WordPress.org به عنوان “بسته” علامت گذاری شده اند را غیرفعال و حذف کنید. اگر یک قالب غیر ایمن نصب کرده اید که به طور فعال از آن استفاده نمی کنید، آن را حذف کنید.
