WordPress 漏洞报告:2021 年 4 月,第 4 部分

已发表: 2021-04-28

易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。 这份报告涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别:WordPress 核心、WordPress 插件和 WordPress 主题。 每个漏洞的严重性等级为严重。 严重性评级基于通用漏洞评分系统。

在 4 月,第 4 部分报告
    将 iThemes 安全 WordPress 漏洞报告发送到您的收件箱
    注册报告

    WordPress 核心漏洞

    WordPress 5.7.1 于 2021 年 4 月 15 日发布。此安全和维护版本除了两个安全修复外,还修复了 26 个错误。 由于这是 WordPress 核心的安全版本,建议您立即更新您的站点!

    WordPress 插件漏洞

    1. 手风琴

    漏洞:经过身份验证的反射跨站点脚本
    修补版本:2.2.30
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    该漏洞已修补,因此您应该更新到版本 2.2.30+。

    2. Yandex Turbo 的 RSS

    漏洞:经过身份验证的存储跨站点脚本
    补丁版本:1.30
    严重性– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    该漏洞已修补,因此您应该更新到 1.30+ 版本。

    3. Kaswara Modern VC 插件

    漏洞:未经身份验证的任意文件上传
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    4. WP 内容复制保护和无右键单击

    漏洞:通过CSRF任意安装/激活插件
    补丁版本:3.4
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本:3.5.1
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    该漏洞已修补,因此您应该更新到版本 3.5.1+。

    5. WooCommerce 的条件营销邮件程序

    漏洞:通过CSRF任意安装/激活插件
    补丁版本:1.6
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本:1.5.2
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    该漏洞已修补,因此您应该更新到 1.6+ 版本。

    6. Captchinoo, Google recaptcha for admin login page

    漏洞:通过CSRF任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    7. WP 维护模式和站点建设中

    漏洞:通过CSRF任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    8. 树型站点地图

    漏洞:通过CSRF任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    9. 登录保护——限制失败的登录尝试

    漏洞:通过CSRF任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    10. 访客流量实时统计

    漏洞:通过CSRF任意安装/激活插件
    修补版本:2.13
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    修补版本:2.12
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    该漏洞已修补,因此您应该更新到 2.13+ 版本。

    11. 以用户或客户身份登录

    漏洞:通过CSRF任意安装/激活插件
    已修补版本:2.1
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通过低权限用户任意安装/激活插件
    补丁版本:1.8
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    该漏洞已修补,因此您应该更新到 2.1+ 版本。

    12. 将 404 重定向到父级

    漏洞:反射跨站脚本
    已修补版本:1.3.1
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    该漏洞已修补,因此您应该更新到 1.3.1+ 版本。

    13. 选择所有类别和分类法

    漏洞:反射跨站脚本
    已修补版本:1.3.2
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    该漏洞已修补,因此您应该更新到 1.3.2+ 版本。

    14. 软件许可证管理器

    漏洞:CSRF to Stored XSS
    已修补版本:4.4.6
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    该漏洞已修补,因此您应该更新到版本 4.4.6+。

    15. 汽车销售商——汽车分类广告脚本

    漏洞:未经身份验证的 SQL 注入
    已修补版本无已知修复
    严重性严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    16. 商店定位器 Plus

    漏洞:未经身份验证的存储跨站脚本
    已修补版本无已知修复
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    17. Elementor Free & Pro 的快乐插件

    漏洞:存储的跨站脚本
    免费补丁版本:2.24.0
    专业版补丁:1.17.0
    严重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    该漏洞已修补,因此您应该更新到版本 2.24.0+(免费)/1.17.0+(专业版)。

    18. WP 最快缓存

    WP 最快缓存标志

    漏洞:通过路径遍历进行身份验证的任意文件删除
    修补版本:0.9.1.7
    严重性– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    该漏洞已修补,因此您应该更新到 0.9.1.7+ 版本。

    19. WPGraphQL

    漏洞:拒绝服务
    已修补版本无已知修复
    严重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    20.WooCommerce

    漏洞:经过身份验证的存储跨站点脚本
    已修补版本:5.2.0
    严重性– CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    该漏洞已修补,因此您应该更新到 5.2.0+ 版本。

    WordPress 主题漏洞

    本周没有披露新的主题漏洞。

    WordPress 安全插件可以帮助保护您的网站

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

    获取 iThemes 安全专业版