WordPress 漏洞报告:2021 年 4 月,第 4 部分
已发表: 2021-04-28易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。 这份报告涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
WordPress 漏洞综述分为三个不同的类别:WordPress 核心、WordPress 插件和 WordPress 主题。 每个漏洞的严重性等级为低、中、高或严重。 严重性评级基于通用漏洞评分系统。
WordPress 核心漏洞
WordPress 5.7.1 于 2021 年 4 月 15 日发布。此安全和维护版本除了两个安全修复外,还修复了 26 个错误。 由于这是 WordPress 核心的安全版本,建议您立即更新您的站点!
WordPress 插件漏洞
1. 手风琴

漏洞:经过身份验证的反射跨站点脚本
修补版本:2.2.30
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. Yandex Turbo 的 RSS

漏洞:经过身份验证的存储跨站点脚本
补丁版本:1.30
严重性:中– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Kaswara Modern VC 插件
漏洞:未经身份验证的任意文件上传
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. WP 内容复制保护和无右键单击

漏洞:通过CSRF任意安装/激活插件
补丁版本:3.4
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:3.5.1
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. WooCommerce 的条件营销邮件程序

漏洞:通过CSRF任意安装/激活插件
补丁版本:1.6
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:1.5.2
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha for admin login page
漏洞:通过CSRF任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. WP 维护模式和站点建设中
漏洞:通过CSRF任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. 树型站点地图
漏洞:通过CSRF任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. 登录保护——限制失败的登录尝试
漏洞:通过CSRF任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. 访客流量实时统计

漏洞:通过CSRF任意安装/激活插件
修补版本:2.13
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞:通过低权限用户任意安装/激活插件
修补版本:2.12
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. 以用户或客户身份登录

漏洞:通过CSRF任意安装/激活插件
已修补版本:2.1
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通过低权限用户任意安装/激活插件
补丁版本:1.8
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. 将 404 重定向到父级

漏洞:反射跨站脚本
已修补版本:1.3.1
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. 选择所有类别和分类法
漏洞:反射跨站脚本
已修补版本:1.3.2
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. 软件许可证管理器

漏洞:CSRF to Stored XSS
已修补版本:4.4.6
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. 汽车销售商——汽车分类广告脚本
漏洞:未经身份验证的 SQL 注入
已修补版本:无已知修复
严重性:严重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. 商店定位器 Plus
漏洞:未经身份验证的存储跨站脚本
已修补版本:无已知修复
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Elementor Free & Pro 的快乐插件

漏洞:存储的跨站脚本
免费补丁版本:2.24.0
专业版补丁:1.17.0
严重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP 最快缓存

漏洞:通过路径遍历进行身份验证的任意文件删除
修补版本:0.9.1.7
严重性:低– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
漏洞:拒绝服务
已修补版本:无已知修复
严重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20.WooCommerce

漏洞:经过身份验证的存储跨站点脚本
已修补版本:5.2.0
严重性:中– CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
WordPress 主题漏洞
WordPress 安全插件可以帮助保护您的网站
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。
获取 iThemes 安全专业版
每周,Michael 都会汇总 WordPress 漏洞报告,以帮助确保您的网站安全。 作为 iThemes 的产品经理,他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子,喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩,在不工作的时候阅读或听音乐。
