ホーム サイト情報記事 標準記事

標準記事

3月のWordPressプラグイン脆弱性リスト

以下は3月に発見されたWordPressおよびプラグイン関連の脆弱性です。各自ご利用の有無をご確認いただき、速やかに最新バージョンに更新して損失を回避してください。 WordPressプラグインの脆弱性 これまでに、今月新たにいくつかのWordPressプラグインの脆弱性が発見されました。以下の推奨操作に従って、プラグインを更新するか完全にアンインストールしてください。 …

2020年3月27日更新 約 8 分で読めます
3月份WordPress插件漏洞列表

以下は3月に発見されたWordPressおよびプラグイン関連の脆弱性です。各自ご利用の有無をご確認いただき、速やかに最新バージョンに更新して損失を回避してください。

WordPressプラグインの脆弱性

今月これまでに、いくつかの新しいWordPressプラグインの脆弱性が発見されています。以下の推奨アクションに従って、プラグインを更新するか、完全にアンインストールしてください。

1. Pricing Table by Supsystic

Pricing Table by Supsystic バージョン1.8.1以前には複数の脆弱性があります。 脆弱性は修正済みです。バージョン1.8.2以上に更新してください。

2. Flexible Checkout Fields for WooCommerce

Flexible Checkout Fields for WooCommerce バージョン2.3.1以前には„認証不要の設定更新“脆弱性があります。このプラグインは悪意のある攻撃に積極的に悪用され、WooCommerceチェックアウトページに悪意のあるスクリプトが注入されました。 脆弱性は修正済みです。バージョン2.3.2に更新してください。

3. Export Users

Export Users バージョン1.4.2以前はCSVインジェクション攻撃に対して脆弱です。 このプラグインはWordPress.orgプラグインレポジトリから削除されました。直ちに削除してください。

4. Hero Maps

Hero Maps バージョン2.2.1以前には、認証不要の反射型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン2.2.3に更新してください。

5. CardGate Payments for WooCommerce

CardGate Payments for WooCommerce バージョン3.1.15以前には、不正な支払いハイジャックおよび注文ステータス詐称の脆弱性があります。 脆弱性は修正済みです。バージョン3.1.16に更新してください。

6. Async JavaScript

Async JavaScript バージョン2.19.07.14以前には、認証不要の格納型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン2.20.03.01に更新してください。

7. 10Web Map Builder for Google Maps

10Web Map Builder for Google Maps バージョン1.0.63以前には、認証不要の格納型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン1.0.64に更新してください。

8. Modern Events Calendar LiteModern

Events Calendar Lite バージョン5.1.6以前には„格納型クロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン5.1.7に更新してください。

9. Appointment Booking Calendar

Appointment Booking Calendar バージョン1.3.34以前には„認証済みの格納型クロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン1.3.35に更新してください。

10. WPForms

WPForms バージョン1.5.8.2以前には„認証済みのクロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン1.5.9に更新してください。

11. WordPress WP-Advanced-Search

WordPress WP-Advanced-Search バージョン3.3.3以前には、認証不要のデータベースアクセスおよびリモートコード実行の脆弱性があります。 脆弱性は修正済みです。バージョン3.3.4に更新してください。

12. Registration Magic

RegistrationMagic バージョン4.6.0.1以前には複数のセキュリティ脆弱性があります。 脆弱性は修正済みです。バージョン4.6.0.4に更新してください。

13. Brizy – Page Builder

Brizy – Page Builder バージョン1.0.113およびそれ以前のバージョンには„認証不要のサイト設定更新“の脆弱性があります。この脆弱性は修正済みです。バージョン1.0.114に更新してください。

14. Custom Searchable Data Entry System

Custom Searchable Data Entry System 1.7.1およびそれ以前のバージョンには、認証不要のデータ改ざんおよび削除の脆弱性があります。この脆弱性は積極的に悪用されています。セキュリティパッチはまだリリースされておらず、このプラグインを削除する必要があります。

15. WP Security Audit Log

WP Security Audit Log バージョン4.0.1およびそれ以前のバージョンには、アクセス制御の破損の脆弱性があります。この脆弱性は修正済みです。バージョン4.0.2に更新してください。

16. Popup Builder

Popup Builder 3.63およびそれ以前のバージョンには、認証不要のXSSおよび情報漏洩の脆弱性があります。この脆弱性により、認証不要の攻撃者が何千ものサイトに表示されるポップアップウィンドウに悪意のあるJavaScriptコードを注入し、情報を窃取し、場合によってはターゲットサイトを完全に乗っ取る可能性があります。この脆弱性は修正済みです。バージョン3.64.1に更新してください。

17、WordPress File Upload

バージョン4.13.0未満のWordPress File Uploadプラグインには、リモートコード実行の脆弱性があります。速やかにバージョン4.13.0以降に更新してください。

18、LearnPress

LearnPress バージョン3.2.6.7未満には、権限昇格の脆弱性があります。速やかにバージョン3.2.6.7以降に更新してください。

19、Custom Post Type UI

Custom Post Type UI バージョン1.7.4未満には、クロスサイトリクエストフォージェリ(CSRF)および格納型クロスサイトスクリプティング(XSS)の脆弱性があります。速やかにバージョン1.7.4に更新してください。

20、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin バージョン0.9.36未満には、認可の欠如によるデータベース漏洩の脆弱性があります。速やかにバージョン0.9.36に更新してください。

21、All-in-One WP Migration

All-in-One WP Migration バージョン7.15未満には、任意のバックアップダウンロードの脆弱性があります。速やかにバージョン7.15以降に更新してください。

22、Newsletter

Newsletter バージョン6.5.4未満には、CSVインジェクションの脆弱性があります。速やかにバージョン6.5.4以降に更新してください。

23、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive バージョン2.2.6未満には、保護されていないAJAXエンドポイントの脆弱性があります。速やかにバージョン2.2.6以降に更新してください。

24、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense バージョン1.17.4未満には、„認証済みの反射型クロスサイトスクリプティング“の脆弱性があります。速やかにバージョン1.17.4以降に更新してください。

25、Cookiebot

バージョン3.6.1未満のCookiebotには、認証済みの反射型クロスサイトスクリプティングの脆弱性があります。速やかにバージョン3.6.1以降に更新してください。

26、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic バージョン1.9.92未満には、複数の脆弱性があります。速やかにバージョン1.9.92以降に更新してください。

27、その他のプラグイン

Buddypress Component Stats
abstract-submission
WP e-Commerce Shop Styling
web-portal-lite-client
post-pdf-export
blogtopdf
gboutique

上記7つのプラグインにはセキュリティ脆弱性が含まれており、WordPressリポジトリから削除されました。速やかに無効化して削除してください!!

WordPressの脆弱性に遭遇したらどうするか

古いソフトウェアの実行は、WordPressサイトがハッキングされる第一の原因です。更新ルーチンを確立することは、WordPressサイトのセキュリティにとって極めて重要です。少なくとも週に1回はサイトにログインして更新を実行すべきです。

自動更新は役立ちます

頻繁に変更されないWordPressサイトの場合、自動更新は良い選択肢です。注意を払わないと、これらのサイトは見過ごされ、攻撃に対して脆弱になることがよくあります。推奨されるセキュリティ設定を使用していても、サイト上で脆弱なソフトウェアを実行していると、攻撃者がサイトに侵入する可能性があります。

WordPressのセキュリティについて詳しくはこちらをご覧ください:WordPressセキュリティ特集

記事はWP大学より転載

この記事を評価する post
前の記事 Alibaba Cloudサーバーでサイトをインストールする際、WordPressイメージのプリインストールは推奨しません 同じタイムラインの近くのコンテンツを読み続ける。 次の記事 SiteGroundで専用IPを申請する図解チュートリアル 次の関連チュートリアルや経験を表示する。

AIサイト構築アシスタント

🤖
こんにちは!私はNaibaサイト構築ノートのAIアシスタントです。何かお手伝いできることはありますか?
クイックコンサルティング: