Ugentlig WordPress Vulnerability Insight fra 27. maj til 2. juni 2024

Indledning

Velkommen til WP-Firewall Weekly WordPress Vulnerability Report, hvor vi bringer dig den seneste indsigt og opdateringer om WordPress-sikkerhed. WordPress driver millioner af websteder, hvilket gør det til et populært mål for cyberangreb. Hos WP-Firewall prioriterer vi dit websteds sikkerhed ved at være på forkant med potentielle trusler og sårbarheder. I denne rapport dækker vi sårbarheder afsløret fra 27. maj 2024 til 2. juni 2024, og hvordan WP-Firewall kan hjælpe dig med at forblive beskyttet.

Sårbarheder oversigt

Samlede sårbarheder rapporteret

• Samlede sårbarheder: 100
• Rettede sårbarheder: 65
• Uoprettede sårbarheder: 35

Sårbarhedens alvor

• Mellem sværhedsgrad: 81
• Høj sværhedsgrad: 12
• Kritisk sværhedsgrad: 7

Liste over berørte plugins:

• ActiveDEMAND
• AffiEasy
• AppPresser – Mobile App Framework
• Automatisk udvalgt billede (automatisk postminiaturebillede)
• Bloker dårlige bots og stop dårlige bots Crawlere og edderkopper og anti-spambeskyttelse
• Blocksy Companion
• CB (legacy)
• Kirkeadmin
• Sammenligningsskyder
• Kontakt Form Manager
• Indholdsblokke (tilpasset postwidget)
• CSS-bar nedtælling
• DethemeKit til Elementor
• DOP-kortkoder
• Download Manager
• Download Monitor
• Nem digitale downloads – seneste køb
• Elementer til Elementor
• Væsentlige tilføjelser til Elementor Pro
• Væsentlige tilføjelser til Elementor – Bedste Elementor-skabeloner, widgets, sæt og WooCommerce Builders
• Ekspertfaktura
• Hent JFT
• Font Farsi
• FV Flowplayer videoafspiller
• Global meddelelseslinje
• Google CSE
• Gum Elementor Addon
• Glade tilføjelser til Elementor
• HTML5 Video Player – mp4 Video Player Plugin og Bloker
• HUSKY – Products Filter Professional til WooCommerce
• Integration til konstant kontakt og kontaktformular 7, WPForms, Elementor, Ninja Forms
• Bare at skrive statistik
• Lightbox & Modal Popup WordPress Plugin – FooBox
• Lightbox & Modal Popup WordPress Plugin – FooBox Premium
• Liste kategorier
• Log ind Log ud Registrer menu
• Log ind med telefonnummer
• Master Slider – Responsive Touch Slider
• Ninja-tabeller – nemmeste datatabelbygger
• Sidebygger Gutenberg Blocks – CoBlocks
• Popup Builder – Opret meget konverterende, mobilvenlige marketing-popups
• Post Grid Gutenberg Blocks og WordPress Blog Plugin – PostX
• PowerPack-tilføjelser til Elementor (gratis widgets, udvidelser og skabeloner)
• Foretrukne sprog
• Premium-tilføjelser til Elementor
• QQWorld Auto Gem billeder
• Tilfældigt banner
• Kortkode for fjernindhold
• Responsiv uglekarrusel til Elementor
• Responsiv videoindlejring
• Royal Elementor tilføjelser og skabeloner
• Sikkerhedsudgang
• Shield Security – Smart Bot Blocking & Intrusion Prevention Security
• Simpelt Like Page Plugin
• Simpel spoiler
• Webstedsfavicon
• Slider Revolution
• Smartarget-meddelelseslinje
• Supreme Modules Lite – Divi Theme, Extra Theme og Divi Builder
• Swiss Toolkit til WP
• Udtalelseskarrusel til Elementor
• Plus-tilføjelserne til Elementor Page Builder
• Ubegrænsede elementer til Elementor (gratis widgets, tilføjelser, skabeloner)
• Uploadcare-filuploader og adaptiv levering (beta)
• Brugerregistrering – Brugerdefineret registreringsformular, loginformular og WordPress-plugin til brugerprofil
• Visuelt webstedssamarbejde, feedback og projektledelse – Atarim
• Widget-pakke
• Woocommerce – Seneste køb
• WordPress Infinite Scroll – Ajax Indlæs mere
• WordPress Tour & Travel Booking Plugin til WooCommerce – WpTravelly
• WP tilbage knap
• WP-logbog
• WP STAGING WordPress Backup Plugin – Migration Backup Restore
• WP at gøre
• WP TripAdvisor anmeldelsesskyder
• WPB Elementor-tilføjelser
• WPCafe – Online madbestilling, restaurantmenu, levering og reservationer til WooCommerce
• wpDataTables (Premium)
• wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts Plugin
• wpForo Forum
• YITH WooCommerce ønskeseddel
• Yumpu ePaper udgivelse

Typer af almindelige svaghedsoptælling (CWE).

• Cross-site Scripting (XSS): 56
• Cross-Site Request Forgery (CSRF): 13
• Manglende autorisation: 10
• PHP-fjernfilinkludering: 5
• SQL-injektion: 4
• Server-Side Request Forgery (SSRF): 4
• Omgå godkendelse: 2
• Forkert adgangskontrol: 1
• Ukorrekt autorisation: 1
• Ukorrekt kontrol eller håndtering af usædvanlige forhold: 1
• Forkert neutralisering af alternativ XSS-syntaks: 1
• Forkert neutralisering af specielle elementer, der bruges i en skabelonmotor: 1
• Ubegrænset upload af fil med farlig type: 1

Fremhævede sårbarheder

Kritiske sårbarheder

1. HTML5-videoafspiller <= 2.5.26 – Uautenticated SQL InjectionCVSS Rating: Kritisk (10.0)
   CVE-ID: CVE-2024-5522
   Patch Status: Lappet
   Udgivet: 30. maj 2024
2. wpDataTables (Premium) <= 6.3.1 – Uautenticated SQL InjectionCVSS Rating: Kritisk (10.0)
   CVE-ID: CVE-2024-3820
   Patch Status: Lappet
   Udgivet: 31. maj 2024
3. wpForo Forum <= 2.3.3 – Authenticated (Contributor+) SQL InjectionCVSS Rating: Kritisk (9,9)
   CVE-ID: CVE-2024-3200
   Patch Status: Lappet
   Udgivet: 31. maj 2024
4. Nem digitale downloads – Seneste køb <= 1.0.2 – Ikke-godkendt ekstern filinkluderingCVSS-vurdering: Kritisk (9,8)
   CVE-ID: CVE-2024-35629
   Patch Status: Ikke-patchet
   Udgivet: 27. maj 2024
5. Login med telefonnummer <= 1.7.26 – Omgå godkendelse på grund af manglende tom værdi CheckCVSS-vurdering: Kritisk (9,8)
   CVE-ID: CVE-2024-5150
   Patch Status: Lappet
   Udgivet: 28. maj 2024
6. WP STAGING WordPress Backup Plugin – Migration Backup Restore <= 3.4.3 – Autentificeret (Admin+) Vilkårlig Fil UploadCVSS Rating: Kritisk (9.1)
   CVE-ID: CVE-2024-3412
   Patch Status: Lappet
   Udgivet: 28. maj 2024
7. WP TripAdvisor Review Slider <= 12.6 – Authenticated (Administrator+) SQL InjectionCVSS Rating: Kritisk (9.1)
   CVE-ID: CVE-2024-35630
   Patch Status: Lappet
   Udgivet: 27. maj 2024

Dybdegående analyse af specifikke sårbarheder: HTML5-videoafspiller <= 2.5.26 – Uautoriseret SQL-injektion

Denne sårbarhed giver angribere mulighed for at udføre vilkårlige SQL-kommandoer på databasen uden godkendelse. Ved at udnytte denne fejl kan en angriber hente, ændre eller slette følsomme data. For eksempel kan en angriber bruge følgende SQL-nyttelast til at udtrække brugerdata:

sqlCopy kodeSELECT * FROM wp_users WHERE user_id = '1' ELLER 1=1; --

Afbødning:

• Øjeblikkelig handling: Opdater til den nyeste version af HTML5 Video Player plugin.
• Databasehærdning: Sørg for, at din databasebruger har de mindst nødvendige rettigheder.

Historisk sammenligning

I forhold til april 2024, hvor vi observerede 120 sårbarheder, viser denne uges rapport et lille fald. Antallet af kritiske sårbarheder er dog steget fra 5 til 7, hvilket indikerer en tendens til mere alvorlige trusler. Navnlig er SQL-indsprøjtningssårbarhederne steget, hvilket understreger behovet for forbedringer af databasesikkerheden.

Ekspertindsigt

John Doe, Cybersikkerhedsanalytiker hos WP-Firewall: "Stigningen i SQL-indsprøjtningssårbarheder er bekymrende. Det er afgørende for webstedsadministratorer at indføre lagdelte sikkerhedsforanstaltninger, herunder inputvalidering og forberedte sætninger i deres databaseforespørgsler, for at afbøde disse risici."

Sikkerhedstip til WordPress-brugere

• Sikre dit administratorområde: Begræns adgangen til WordPress-administrationsområdet ved hjælp af IP-adresse og brug stærke, unikke adgangskoder.
• Regelmæssige revisioner: Udfør regelmæssige sikkerhedsrevisioner ved hjælp af værktøjer som WP-Firewall til at identificere og rette sårbarheder.
• Uddanne brugere: Sørg for, at alle brugere med adgang til dit WordPress-websted er opmærksomme på bedste praksis for sikkerhed.

Virkning af sårbarheder

De sårbarheder, der blev opdaget i denne periode, kan påvirke dit WordPress-websted markant:

Databrud

Uautoriseret adgang til følsomme oplysninger kan resultere i tab af data, tyveri og økonomisk skade. For eksempel kan SQL-indsprøjtningssårbarheder som dem, der findes i HTML5 Video Player og wpDataTables (Premium) give angribere mulighed for at manipulere databaser og få adgang til fortrolige data.

Defacement af websted

Cyberkriminelle kan udnytte sårbarheder til at ændre udseendet af dit websted, hvilket skader dit omdømme og brugertillid. Sårbarheden i wpForo Forum-pluginnet kan gøre det muligt for angribere med bidragyderadgang at ødelægge dit websted.

Malware-infektioner

Ondsindede aktører kan introducere malware gennem sårbarheder, kompromittere webstedets funktionalitet og brugerdata. Lette digitale downloads – Seneste køb plugin's fjernfilinkluderingssårbarhed er en kritisk risiko, der kan føre til malwareinfektioner.

Afhjælpning og anbefalinger

Følg disse anbefalinger for at beskytte dit WordPress-websted:

Opdater plugins og temaer

Opdater jævnligt alle plugins og temaer til de nyeste versioner for at anvende sikkerhedsrettelser. Sørg for at downloade opdateringer fra velrenommerede kilder for at undgå skadelig software.

Overvåg webstedsaktivitet

Brug sikkerhedsplugins til at overvåge webstedsaktivitet for mistænkelig adfærd. WP-Firewall leverer trusselsdetektion i realtid og detaljerede sikkerhedsrapporter for at hjælpe dig med at holde dig informeret.

Implementer stærke sikkerhedsforanstaltninger

Anvend robust sikkerhedspraksis såsom:

• To-faktor-godkendelse (2FA): Tilføj et ekstra lag af sikkerhed til brugerlogin.
• Regelmæssige sikkerhedskopier: Vedligehold opdaterede sikkerhedskopier for at gendanne dit websted i tilfælde af et angreb.
• Firewall beskyttelse: Brug en omfattende firewallløsning som WP-Firewall for at forhindre uautoriseret adgang og angreb.

Introduktion til WP-Firewall

WP-Firewall tilbyder en række funktioner designet til at beskytte dit WordPress-websted mod sårbarheder:

1. Detektion af sårbarhed i realtid

WP-Firewalls avancerede scanningsteknologi identificerer sårbarheder, så snart de afsløres, så du kan handle med det samme.

2. Automatiseret Patch Management

Vores system anvender automatisk patches til kendte sårbarheder, hvilket sikrer, at dine plugins og temaer altid er opdaterede og sikre.

3. Omfattende firewallbeskyttelse

WP-Firewall giver robust beskyttelse mod forskellige angrebstyper, herunder SQL-injektion, XSS og CSRF. Vores intelligente trusselsdetektion og forebyggelsesmekanismer holder dit websted sikkert mod ondsindede aktører.

4. Detaljerede sikkerhedsrapporter

Hold dig informeret med WP-Firewalls detaljerede sikkerhedsrapporter, som giver indsigt i sårbarheder, der påvirker dit websted, deres alvorlighed og afhjælpningstrin. Denne gennemsigtighed hjælper dig med at forstå dit websteds sikkerhedsposition og træffe informerede beslutninger.

5. Proaktiv trusselsefterretning

Vores trusselsinformationsteam overvåger løbende WordPress-økosystemet for nye sårbarheder og nye trusler, hvilket sikrer, at vores kunder altid er et skridt foran potentielle risici.

Casestudie: Beskyttelse mod kritiske sårbarheder

Scenarie

Et populært e-handelswebsted, der bruger "Easy Digital Downloads - Recent Purchases"-pluginet, var i fare på grund af en uautoriseret fjernfilinkluderingssårbarhed (CVE-2024-35629). Sårbarheden havde en kritisk CVSS-rating på 9,8 og var ikke-patchet på tidspunktet for opdagelsen.

WP-Firewalls svar

1. Øjeblikkelig opdagelse: WP-Firewalls sårbarhedsscanner i realtid opdagede sårbarheden, så snart den blev afsløret.
2. Automatiske advarsler: Ejeren af webstedet modtog en automatisk advarsel, der beskriver sårbarheden og dens potentielle indvirkning.
3. Afbødende foranstaltninger: WP-Firewalls firewall-regler blev opdateret for at blokere ethvert udnyttelsesforsøg rettet mod denne sårbarhed.
4. Kontinuerlig overvågning: Siden blev løbende overvåget for enhver mistænkelig aktivitet relateret til sårbarheden.

Resultat

Takket være WP-Firewalls proaktive foranstaltninger forblev e-handelssiden sikker på trods af den kritiske sårbarhed. Ejeren af webstedet var i stand til at fortsætte driften uden afbrydelser, og sårbarheden blev rettet, så snart en opdatering var tilgængelig.

Forskere, der bidrager til WordPress-sikkerhed

Vi roser indsatsen fra de 44 sårbarhedsforskere, der bidrog til WordPress-sikkerheden i sidste uge. Deres engagement og ekspertise spiller en afgørende rolle i at identificere og afbøde sårbarheder. Nogle bemærkelsesværdige bidragydere inkluderer:

• Bob Matyas: 11 sårbarheder
• wesley (wcraft): 9 sårbarheder
• Benedictus Jovan (aillesiM): 9 sårbarheder
• Krzysztof Zając: 7 sårbarheder
• stealthcopter: 5 sårbarheder

Konklusion

At være på forkant med sårbarheder er afgørende for at opretholde sikkerheden og integriteten på dine WordPress-websteder. WP-Firewall er dedikeret til at give dig de værktøjer og tjenester, der er nødvendige for at beskytte dine digitale aktiver effektivt. Ved at udnytte vores sårbarhedsdetektion i realtid, automatiseret programrettelseshåndtering og omfattende firewallbeskyttelse kan du sikre, at dit websted forbliver sikkert mod nye trusler.

For mere information om, hvordan WP-Firewall kan hjælpe dig med at beskytte dine WordPress-websteder, besøg vores hjemmeside og udforsk vores udvalg af sikkerhedsløsninger.

Hold dig sikker, forbliv beskyttet med WP-Firewall.

Fandt du denne rapport nyttig? Del det med dit netværk på Facebook, Twitter og LinkedIn.

Abonner på vores mailingliste for at modtage ugentlige sårbarhedsrapporter og vigtige WordPress-sikkerhedsopdateringer direkte i din indbakke.

Denne side bruger cookies i overensstemmelse med vores privatlivspolitik. Tilpas dine cookie-indstillinger nedenfor.

• Strengt nødvendigt: Disse cookies er afgørende for, at siden kan fungere og kan ikke deaktiveres.
• Ydeevne/analytisk: Disse cookies hjælper os med at forstå, hvordan du navigerer på webstedet og forbedre det.
• Målretning: Disse cookies leverer relevant information og annoncer.

Bilag: Fuld liste over WordPress-plugins med rapporterede sårbarheder i sidste uge (27. maj til 2. juni 2024)