مشکلات پلاگین های وردپرس را برطرف کنید!
چندین آسیب پذیری از جمله CVE-2021-25049 و CVE-2021-24865 در پلاگینهای WordPress امکان حمله SQL Injection، XSS، CSRF و … را برای مهاجم فراهم میکند.
افزونه Mobile Events Manager WordPress قبل از نسخه 1.4.4 پاکسازی نمیشود و از تنظیمات مختلف خود فرار نمیکند و به کاربران با امتیاز بالا اجازه میدهد تا حملات Cross-Site Scripting را حتی زمانی که قابلیت unfiltered_html غیرمجاز است انجام دهند.
پلاگین ردیابی سفارشات برای WooCommerce وردپرس قبل از نسخه 1.1.10 قبل از خروج از صفحه مدیریت فایل_url را پاکسازی نمی کند و از آن فرار نمی کند و منجر به یک اسکریپت بین سایتی منعکس شده می شود.
افزونه WP125 وردپرس نیز قبل از نسخه 1.5.5 دارای بررسی های CSRF در اقدامات مختلف نیست، به عنوان مثال هنگام حذف یک تبلیغ، به مهاجمان اجازه می دهد تا از طریق یک حمله CSRF آنها را از طریق یک حمله CSRF حذف کنند.
Advanced Custom Fields: افزونه توسعه یافته وردپرس قبل از نسخه 0.8.8.7 پارامترهای ترتیب را در بیانیه SQL تأیید نمی کند و منجر به یک مشکل SQL Injection می شود. ضمن اینکه افزونه اطلاع رسانی کوکی برای افزونه وردپرس قبل از نسخه 1.0.9 قبل از استفاده از آن در یک عبارت SQL، هنگام بازیابی تنظیمات ویرایش در داشبورد مدیریت، پارامتر id GET را پاکسازی نمی کند یا از آن فرار نمی کند و منجر به تزریق SQL تأیید شده می شود.
برای حل مشکلات ذکر شده در بالا، افزونه های نام برده شده را به روز رسانی نمایید