Минулого тижня було розкрито 139 уразливостей у 105 плагінах WordPress і 2 темах WordPress, які було додано до бази даних уразливостей Wordfence Intelligence, а минулого тижня 47 дослідників уразливостей зробили внесок у безпеку WordPress.
Місія з Wordfence Intelligence полягає в тому, щоб зробити цінну інформацію про вразливості легко доступною для всіх, як-от для спільноти WordPress, щоб окремі особи та організації могли використовувати ці дані, щоб зробити Інтернет більш безпечним.
Ось чому доступ до інтерфейсу користувача Wordfence Intelligence та API вразливостей є абсолютно безкоштовним для особистого та комерційного використання, і тому фахівці створюють цей щотижневий звіт про вразливості.
Нові правила брандмауера
Команда аналізу загроз Wordfence перевіряє кожну вразливість, щоб визначити вплив і серйозність, а також оцінити ймовірність використання, щоб переконатися, що брандмауер Wordfence забезпечує достатній захист.
Минулого тижня команда розгорнула розширений захист за допомогою правил брандмауера для таких уразливостей у режимі реального часу для клієнтів Premium, Care та Response:
Основні додатки для Elementor <= 5.7.1 – довільне скидання пароля без автентифікації для підвищення привілеїв
Ця вразливість активно використовується. За останні 24 години було заблоковано понад 600 спроб експлойтів, і фахівці очікують, що це триватиме.
Клієнти Wordfence Premium, Care та Response отримали цей захист негайно, а користувачі, які все ще використовують безкоштовну версію Wordfence, отримають цей посилений захист після 30-денної затримки.
Загальна кількість невиправлених і виправлених уразливостей минулого тижня
Статус виправлення | Кількість вразливостей |
Без латок | 47 |
Залатаний | 92 |
Загальна кількість вразливостей за ступенем серйозності CVSS минулого тижня
Рейтинг серйозності | Кількість вразливостей |
Низька серйозність | 2 |
Середній ступінь тяжкості | 119 |
Високий ступінь тяжкості | 13 |
Критична серйозність | 5 |
Загальна кількість вразливостей за типом CWE минулого тижня
Тип уразливості за CWE | Кількість вразливостей |
Неправильна нейтралізація вхідних даних під час генерації веб-сторінки («Міжсайтовий сценарій») | 64 |
Міжсайтова підробка запитів (CSRF) | 31 |
Відсутня авторизація | 23 |
Неналежна нейтралізація спеціальних елементів, що використовуються в команді SQL (“SQL-ін’єкція”) | 8 |
Десеріалізація ненадійних даних | 2 |
Неправильне обмеження імені шляху до каталогу з обмеженим доступом («Обхід шляху») | 2 |
Переспрямування URL-адреси на ненадійний сайт («відкрите переспрямування») | 2 |
Використання менш надійного джерела | 1 |
Неправильна авторизація | 1 |
Необмежене завантаження файлу небезпечного типу | 1 |
Неналежний дозвіл | 1 |
Обхід авторизації через керований користувачем ключ | 1 |
Неналежний контроль імені файлу для оператора Include/Require у програмі PHP (“віддалене включення файлу PHP”) | 1 |
Неперевірена зміна пароля | 1 |
Теми WordPress із повідомленнями про вразливості минулого тижня
Назва програмного забезпечення | Програмний слизень |
Divi | Divi |
Woodmart | woodmart |
Нагадуємо, що Wordfence створив провідну в галузі базу даних уразливостей із усіма відомими вразливостями ядра, теми та плагінів WordPress, відому як Wordfence Intelligence.
Ця база даних постійно оновлюється, підтримується та наповнюється висококваліфікованими та досвідченими дослідниками вразливостей Wordfence шляхом власного дослідження вразливостей, надсилання дослідниками вразливостей за допомогою форми запиту CVE та шляхом моніторингу різних джерел для збору всієї загальнодоступної інформації про вразливості WordPress.