WordPress 漏洞报告：2021 年 4 月，第 3 部分

易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。 这篇文章涵盖了最近的 WordPress 插件、主题和核心漏洞，以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别：WordPress 核心、WordPress 插件和 WordPress 主题。 每个漏洞的严重性等级为低、中、高或严重。 严重性评级基于通用漏洞评分系统。

WordPress 核心漏洞

WordPress 5.7.1 于 2021 年 4 月 15 日发布。此安全和维护版本除了两个安全修复外，还修复了 26 个错误。 由于这是 WordPress 核心的安全版本，建议您立即更新您的站点！

WordPress 插件漏洞

1. Elementor 的 Livemesh 插件

漏洞：存储跨站脚本（XSS）
已修补版本：6.8
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 6.8+ 版本。

2. HT Mega – Elementor 的绝对插件

漏洞：存储跨站脚本（XSS）
已修补版本：1.5.7
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 1.5.7+ 版本。

3. WooLentor – WooCommerce Elementor 插件

漏洞：存储跨站脚本（XSS）
已修补版本：1.8.6
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 1.8.6+ 版本。

4. 好友出版社

漏洞：多个经过身份验证的 REST API 漏洞
已修补版本：7.3.0
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 7.3.0+ 版本。

5. Elementor 的 PowerPack 插件

漏洞：存储跨站脚本（XSS）
已修补版本：2.3.2
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 2.3.2+ 版本。

6. 图像悬停效果 - Elementor Addon

漏洞：存储跨站脚本（XSS）
已修补版本：1.3.4
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 1.3.4+ 版本。

7. Rife Elementor 扩展和模板

漏洞：存储跨站脚本（XSS）
已修补版本：1.1.6
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 1.1.6+ 版本。

8. Elementor 的 Plus 插件

漏洞：存储跨站脚本（XSS）
已修补版本：2.0.6
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 2.0.6+ 版本。

9. Elementor 的多合一插件

漏洞：存储跨站脚本（XSS）
修补版本：2.3.10
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到版本 2.3.10。

10. Elementor 的 JetWidgets

漏洞：存储跨站脚本（XSS）
已修补版本：
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 6.8+ 版本。

11. Elementor 的新浪扩展

漏洞：存储跨站脚本（XSS）
修补版本：3.3.12
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 3.3.12+ 版本。

12. Elementor 的终极插件

漏洞：存储跨站脚本（XSS）
修补版本：1.30.0
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 1.30.0+ 版本。

13. 体能计算器

漏洞：跨站请求伪造到跨站脚本
已修补版本：1.9.6
严重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

该漏洞已修补，因此您应该更新到 1.9.6+ 版本。

14. 用户权限访问管理器

漏洞：不正确的访问控制
已修补版本：1.0.4
严重性：中– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

该漏洞已修补，因此您应该更新到 1.0.4+ 版本。

15. Elementor 的巧妙插件

漏洞：存储跨站脚本XSS
已修补版本：2.1.0
严重性：中 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

该漏洞已修补，因此您应该更新到 2.1.0+ 版本。

16. 简单的数字下载

漏洞：通过CSRF未经授权的Stripe Disconnect
修补版本：2.10.3
严重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

该漏洞已修补，因此您应该更新到 2.10.3+ 版本。

17. 埃德维斯桥

漏洞：CSRF Nonce Bypass
已修补版本：2.0.7
严重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

该漏洞已修补，因此您应该更新到 2.0.7+ 版本。

18. WordPress 下载管理器

漏洞：未经授权的下载重复
补丁版本：3.1.18
严重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

该漏洞已修补，因此您应该更新到 3.1.18+ 版本。

19. Supsystic 的终极地图

漏洞：反射跨站脚本
已修补版本：1.2.5
严重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

该漏洞已修补，因此您应该更新到 1.2.5+ 版本。

20. 由 Supsystic 弹出

漏洞：反射跨站脚本
已修补版本：1.10.5
严重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

该漏洞已修补，因此您应该更新到 1.10.5+ 版本。

21. 10Web 图片库

漏洞：多重反射跨站脚本
补丁版本：1.5.69
严重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

该漏洞已修补，因此您应该更新到 1.5.69+ 版本。

22. 联系表格 7 的重定向

漏洞：未经身份验证的任意随机数生成
已修补版本：2.3.4
严重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

漏洞：经过身份验证的任意插件安装
已修补版本：2.3.4
严重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

漏洞：经过身份验证的 PHP 对象注入
已修补版本：2.3.4
严重性：高– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞：经过身份验证的任意帖子删除
已修补版本：2.3.4
严重性：中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

漏洞：未受保护的 AJAX 操作
已修补版本：2.3.4
严重性：中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

这些漏洞已修补，因此您应该更新到 2.3.4+ 版本。

WordPress 主题漏洞

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件，提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等，您可以为您的网站增加一层额外的安全性。

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。