WordPress 漏洞报告：2021 年 10 月，第 1 部分

已发表: 2021-10-06

易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖了最近的 WordPress 插件、主题和核心漏洞，以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

每个漏洞的严重性等级为低、中、高或严重。负责任地披露和报告漏洞是确保 WordPress 社区安全的一个组成部分。

请与您的朋友分享这篇文章，以帮助宣传并使 WordPress 对每个人都更安全。

2021 年 10 月 6 日报告的内容

希望每周将此报告发送到您的收件箱？

订阅每周电子邮件

WordPress 核心漏洞

WordPress 核心的最新版本是 5.8.1，作为安全和维护版本发布。作为最佳实践，请始终确保运行最新版本的 WordPress 核心！

WordPress 插件漏洞

本节披露了最新的 WordPress 插件漏洞。每个插件列表都包括漏洞类型、修补时的版本号和严重性等级。

1. WP DSGVO 工具

插件： WP DSGVO 工具
漏洞：未经身份验证的插件设置更新到存储的跨站点脚本
已修补版本：3.1.24 –插件关闭
严重性评分：高

此漏洞已被修补，但插件已关闭。您应该尽快找到替代品。

2. 精彩行情

插件：伟大的行情
漏洞：Admin+ 存储的跨站脚本
已修补版本：无已知修复 - 插件已关闭
严重性评分：低

此漏洞尚未修补。卸载并删除插件，直到发布补丁。

3.WP调试

插件： WP 调试
漏洞：未经身份验证的插件设置更新
已修补版本：2.11.0
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.11.0 版。

4. 检查和记录电子邮件

插件：检查和记录电子邮件
漏洞：Admin+ SQL 注入
已修补版本：1.0.3
严重性评分：中等

该漏洞已修补，因此您应该更新到 1.0.3 版。

5. 永久链接管理器精简版

插件： Permalink Manager Lite
漏洞：Admin+ SQL 注入
修补版本：2.2.13.1
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 2.2.13.1。

6. WooCommerce 产品表精简版

插件： WooCommerce 产品表精简版
漏洞：反射跨站脚本
已修补版本：2.4.0
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.4.0 版。

7. WP 表生成器

插件： WP Table Builder
漏洞：反射跨站脚本
已修补版本：1.3.10
严重性评分：高

该漏洞已修补，因此您应该更新到版本 1.3.10。

8. 可视化表单生成器

插件：可视化表单生成器
漏洞：Admin+ 存储的跨站脚本
已修补版本：3.0.4
严重性评分：低

该漏洞已修补，因此您应该更新到版本 3.0.4。

9. NinjaForms

插件： NinjaForms
漏洞：Admin+ 存储的跨站脚本
修补版本：3.5.8.2
严重性评分：低

该漏洞已修补，因此您应该更新到版本 3.5.8.2。

10. 预约

插件： Wappointment
漏洞：未经身份验证的存储跨站脚本
已修补版本：2.2.5
严重性评分：高

该漏洞已修补，因此您应该更新到版本 2.2.5。

11. Countdown 和 CountUp，WooCommerce 销售计时器

插件：倒计时和倒计时，WooCommerce 销售计时器
漏洞：CSRF 存储跨站脚本
已修补版本：1.5.8
严重性评分：高

该漏洞已修补，因此您应该更新到 1.5.8 版。

11. uListing

插件： uListing
漏洞：通过CSRF更新设置
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

插件： uListing
漏洞：未经身份验证的 SQL 注入
已修补版本：2.0.4
严重性评分：高

该漏洞已修补，因此您应该更新到 2.0.4 版。

插件： uListing
漏洞：未经身份验证的权限提升
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

插件： uListing
漏洞：通过CSRF修改用户角色
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

插件： uListing
漏洞：多个CSRF
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

插件： uListing
漏洞：反射跨站脚本
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

插件： uListing
漏洞：经过身份验证的 IDOR
已修补版本：2.0.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.0.6 版。

12. YITH 维护模式

插件： YITH 维护模式
漏洞：多个管理员+存储的跨站点脚本
已修补版本：1.4.0
严重性评分：低

该漏洞已修补，因此您应该更新到 1.4.0 版。

插件： YITH 维护模式
漏洞：Admin+ 存储的跨站脚本
已修补版本：1.3.8
严重性评分：低

该漏洞已修补，因此您应该更新到 1.3.8 版。

13. Cimatti 的 WordPress 联系表格

插件： Cimatti 的 WordPress 联系表格
漏洞：Admin+ 存储的跨站脚本
已修补版本：1.4.12
严重性评分：低

该漏洞已修补，因此您应该更新到版本 1.4.12。

14.OG标签

插件： OG标签
漏洞：通过 CSRF 更新插件的设置
已修补版本：2.0.2
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 2.0.2。

15.连接业务目录

插件：连接业务目录
漏洞：Admin+ 存储的跨站脚本
已修补版本：10.4.3
严重性评分：低

该漏洞已修补，因此您应该更新到版本 10.4.3。

16. 平板预加载器

插件：平面预加载器
漏洞：Admin+ 存储的跨站脚本
已修补版本：1.5.5
严重性评分：中等

该漏洞已修补，因此您应该更新到 1.5.5 版。

插件：平面预加载器
漏洞：CSRF 存储跨站脚本
补丁版本：1.54
严重性评分：高

该漏洞已修补，因此您应该更新到 1.5.4 版。

17. 酷标签云

插件：酷标签云
漏洞：贡献者+存储的跨站脚本
补丁版本：2.26
严重性评分：中等

该漏洞已修补，因此您应该更新到 2.26 版。

18. 建设中

插件： underConstruction
漏洞：反射跨站脚本
补丁版本：1.19
严重性评分：高

该漏洞已修补，因此您应该更新到 1.19 版。

19. MotoPress 餐厅菜单

插件： MotoPress 的餐厅菜单
漏洞：经过身份验证的存储跨站点脚本
已修补版本：无已知修复 - 插件已关闭
严重性评分：低

此漏洞尚未修补。此插件已于 2021 年 9 月 20 日关闭。卸载并删除。

20.AutomatorWP

插件： AutomatorWP
漏洞：缺少授权和权限提升
已修补版本：1.7.6
严重性评分：中等

该漏洞已修补，因此您应该更新到 1.7.6 版。

21. WP 反应精简版

插件： WP Reactions Lite
漏洞：经过身份验证的存储跨站点脚本
已修补版本：1.3.6
严重性评分：低

该漏洞已修补，因此您应该更新到版本 1.3.6。

22. 时尚价目表

插件：时尚价目表
漏洞：订阅者+任意图片上传
已修补版本：6.9.1
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 6.9.1。

插件：时尚价目表
漏洞：未经身份验证的任意图片上传
已修补版本：6.9.0
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 6.9.0。

23 个简单的社交图标

插件：简单的社交图标
漏洞：反射跨站脚本
修补版本：3.0.9
严重性评分：高

该漏洞已修补，因此您应该更新到版本 3.0.9。

插件：简单的社交图标
漏洞：反射跨站脚本
已修补版本：3.1.3
严重性评分：高

该漏洞已修补，因此您应该更新到版本 3.1.3。

24. WPeMatico RSS 提要获取器

插件： WPeMatico RSS Feed Fetcher
漏洞：Admin+ 存储的跨站脚本
修补版本：2.6.12
严重性评分：低

该漏洞已修补，因此您应该更新到版本 2.6.12。

25. WordPress 下载管理器

插件： WordPress 下载管理器
漏洞：Admin+ 存储的跨站脚本
修补版本：3.2.16
严重性评分：低

该漏洞已修补，因此您应该更新到版本 3.2.16。

26. 现代活动日历精简版

插件：现代事件日历精简版
漏洞：经过身份验证的存储跨站点脚本
已修补版本：5.22.3
严重性评分：低

该漏洞已修补，因此您应该更新到版本 5.22.3。

27. Credova_Financial

插件： Credova_Financial
漏洞：敏感信息泄露
已修补版本：1.4.9
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 1.4.9。

28. JS 作业管理器

插件： JS 作业管理器
漏洞：未经身份验证的任意插件安装/激活
已修补版本：无已知修复 - 插件已关闭
严重性评分：严重

此漏洞尚未修补。此插件已于 2021 年 9 月 30 日关闭。卸载并删除。

29. 活动变得简单

插件：事件变得容易
漏洞：多 CSRF 到存储的跨站脚本和事件删除
修补版本：1.5.50
严重性评分：高

该漏洞已修补，因此您应该更新到版本 1.5.50。

30. WooCommerce 的条纹

插件： WooCommerce 的 Stripe
漏洞：缺少对金融账户劫持的授权控制
修补版本：3.3.10
严重性评分：中等

该漏洞已修补，因此您应该更新到版本 3.3.10。

如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响

从这份报告中可以看出，每周都会披露许多新的 WordPress 插件和主题漏洞。我们知道很难掌握每个报告的漏洞披露情况，因此 iThemes Security Pro 插件可以轻松确保您的站点没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。

1. 打开 iThemes Security Pro 站点扫描仪

iThemes Security Pro 插件的 Site Scanner 会扫描 WordPress 网站被黑的第一大原因：过时的插件和具有已知漏洞的主题。站点扫描程序会检查您的站点是否存在已知漏洞，并在可用时自动应用补丁。

要在新安装时启用站点扫描，请导航到插件内功能菜单上的站点检查选项卡，然后单击切换开关以启用站点扫描。

该图像有一个空的 alt 属性；它的文件名为 enable-site-scan-1-1024x519.png

要触发手动站点扫描，请单击站点扫描安全仪表板卡上的立即扫描按钮。

该图像有一个空的 alt 属性；其文件名为 Site-Scans-Security-Card.png

如果站点扫描检测到漏洞，请单击漏洞链接以查看详细信息页面。

该图像有一个空的 alt 属性；它的文件名是漏洞-详细信息-页面-1024x580.png

在站点扫描漏洞页面上，您将看到是否有针对该漏洞的修复程序。如果有可用的补丁，您可以单击“更新插件”按钮在您的网站上应用此修复程序。

2. 开启版本管理以修复漏洞时自动更新

iThemes Security Pro 中的版本管理功能与站点扫描集成，以在过时的软件更新速度不够快时保护您的站点。如果您在网站上运行易受攻击的软件，即使是最强大的安全措施也会失败。如果存在已知漏洞且补丁可用，这些设置可以通过选项自动更新到新版本，从而帮助保护您的站点。

从 iThemes Security Pro 的设置页面，导航到功能屏幕。单击站点检查选项卡。从这里，使用切换来启用版本管理。使用设置工具，您可以配置更多设置，包括您希望 iThemes Security Pro 如何处理 WordPress、插件、主题和额外保护的更新。

确保在修复漏洞时选择自动更新框，以便 iThemes Security Pro 在修复站点扫描程序发现的漏洞时自动更新插件或主题。

3. 当 iThemes Security Pro 在您的网站上发现已知漏洞时收到电子邮件警报

启用站点扫描计划后，前往插件的通知中心设置。在此屏幕上，滚动到站点扫描结果部分。

该图像有一个空的 alt 属性；它的文件名为 site-scan-results-1024x550.jpg

单击该框以启用通知电子邮件，然后单击“保存设置”按钮。

现在，在任何计划的站点扫描期间，如果 iThemes Security Pro 发现任何已知漏洞，您将收到一封电子邮件。电子邮件看起来像这样。

获取 iThemes Security Pro 并在今晚轻松一点

iThemes Security Pro 是我们的 WordPress 安全插件，提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。使用 WordPress、双因素身份验证、强力保护、强密码强制执行等，您可以为您的网站添加额外的安全层。

插件和主题漏洞的站点扫描器
实时网站安全仪表盘
文件更改检测
WordPress 安全日志
受信任的设备
验证码
蛮力保护
两步验证
神奇的登录链接
权限提升
密码泄露检查和拒绝

获取 iThemes 安全专业版

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。他是一个巨大的书呆子，喜欢学习所有新旧技术。你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。