WordPress 漏洞报告:2021 年 5 月,第 4 部分

已发表: 2021-05-27

易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

每个漏洞的严重性等级为严重。 负责任地披露和报告漏洞是确保 WordPress 社区安全的一个组成部分。 请与您的朋友分享这篇文章,以帮助宣传并使 WordPress 对每个人都更安全。

5 月,第 4 部分报告
    注册每周 WordPress 安全新闻和更新时事通讯
    现在订阅

    WordPress 核心漏洞

    本月发布了 WordPress 5.7.2 安全版本,其中一个安全问题影响了 3.7 和 5.7 之间的 WordPress 版本。 如果您尚未更新到 5.7,那么自 3.7 以来的所有 WordPress 版本也已更新,以修复 PHPMailer 安全问题中的对象注入。

    1. WordPress 5.7.2 安全发布

    漏洞:PHPMailer 中的对象注入
    已修补版本:5.7.2
    严重性评分中等

    该漏洞已被修补,因此您应该立即将所有站点更新到 WordPress 5.7.2。

    WordPress 插件漏洞

    1. CartFlows 的漏斗生成器

    插件: CartFlows 的漏斗生成器
    漏洞:经过身份验证的存储跨站点脚本
    已修补版本:1.6.13
    严重性

    该漏洞已修补,因此您应该更新到 1.6.13+ 版本。

    2.平滑滚动页面向上/向下按钮

    插件:平滑滚动页面向上/向下按钮
    漏洞:经过身份验证的存储跨站点脚本
    已修补版本:1.4
    严重性评分中等

    该漏洞已修补,因此您应该更新到 1.4+ 版本。

    3.即时图像WordPress插件

    插件:即时图像 WordPress 插件
    漏洞:经过身份验证的存储跨站点脚本和 XFS
    修补版本:4.4.0.1
    严重性评分中等

    该漏洞已修补,因此您应该更新到版本 4.4.0.1+。

    4. CM注册专业版

    插件: CM注册专业版
    漏洞:PHP 对象注入
    已修补版本:3.2.1
    严重性评分中等

    该漏洞已修补,因此您应该更新到版本 3.2.1+。

    5. WP 祷告

    插件: WP祈祷
    漏洞:经过身份验证的存储跨站点脚本
    已修补版本:1.6.2
    严重性评分

    该漏洞已修补,因此您应该更新到 1.6.2+ 版本。

    6. WP 统计

    插件: WP 统计
    漏洞:未经身份验证的 SQL 注入
    修补版本:13.0.8
    严重性评分

    该漏洞已修补,因此您应该更新到 13.0.8+ 版本。

    7.飞行日志

    插件: FlightLog
    漏洞:经过身份验证的 SQL 注入
    已修补版本无已知修复
    严重性评分

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    8. 视频嵌入

    插件: FlightLog
    漏洞:经过身份验证的 SQL 注入
    已修补版本无已知修复
    严重性评分

    此漏洞尚未修补。 卸载并删除插件,直到发布补丁。

    WordPress 主题漏洞

    1. 汽车维修服务

    主题:汽车维修服务
    漏洞:未经身份验证的反射跨站点脚本和 XFS
    已修补版本:4.0
    严重性评分

    该漏洞已修补,因此您应该更新到 4.0+ 版本。

    关于负责任披露的说明

    您可能想知道为什么要披露一个漏洞,如果它为黑客提供了攻击的漏洞。 好吧,安全研究人员发现漏洞并将其私下报告给软件开发人员是很常见的。

    负责任的披露下,研究人员的初始报告是私下向拥有该软件的公司的开发人员提交的,但同意在补丁发布后发布完整的详细信息。 对于重大安全漏洞,可能会稍微延迟披露漏洞,让更多人有时间修补。

    安全研究人员可以为软件开发人员提供一个截止日期以响应报告或提供补丁。 如果没有达到这个期限,那么研究人员可能会公开披露该漏洞,迫使开发者发布补丁。

    公开披露漏洞并看似引入零日漏洞(一种没有补丁且正在野外利用的漏洞)可能会适得其反。 但是,这是研究人员必须向开发人员施压以修补漏洞的唯一手段。

    如果黑客发现了该漏洞,他们可以悄悄地使用漏洞利用程序并对最终用户(也就是您)造成损害,而软件开发人员仍然满足于不修补漏洞。 在披露漏洞方面,Google 的 Project Zero 也有类似的指导方针。 无论漏洞是否已修补,他们都会在 90 天后发布漏洞的完整详细信息。

    如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响

    iThemes Security Pro 插件的站点扫描器是保护您的 WordPress 网站免受所有软件黑客攻击的第一大原因的好方法:过时的插件和具有已知漏洞的主题。

    站点扫描程序会检查您的站点是否存在已知漏洞,并在可用时自动应用补丁。

    iThemes Security Pro 检查的 3 种 WordPress 漏洞

    1. WordPress 漏洞
    2. 插件漏洞
    3. 主题漏洞

    要在新安装时启用站点扫描,请导航到 iThemes Security Pro 设置并单击站点扫描设置模块上的启用按钮。

    要触发手动站点扫描,请单击位于安全设置右侧栏的站点扫描小部件上的立即扫描按钮。

    站点扫描结果将显示在小部件中。

    如果站点扫描检测到漏洞,请单击漏洞链接以查看详细信息页面。

    在站点扫描漏洞页面上,您将看到是否有针对该漏洞的修复程序。 如果有可用的补丁,您可以单击“更新插件”按钮在您的网站上应用此修复程序。

    在补丁可用和 iThemes 安全漏洞数据库更新以反映修复之间可能存在延迟。 在这种情况下,您可以将通知静音,以便不再收到与漏洞相关的任何警报。

    重要提示:在您确认当前版本包含安全修复程序或漏洞不会影响您的站点之前,您不应忽略漏洞通知。

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

    获取 iThemes 安全专业版

    了解 2021 年 5 月过去的 WordPress 漏洞报告

    漏报? 以下是 2021 年 5 月的报告。

    • 2021 年 5 月第 3 部分
    • 2021 年 5 月第 2 部分
    • 2021 年 5 月第 1 部分
    WordPress 漏洞报告