WordPress 漏洞报告:2021 年 10 月,第 4 部分
已发表: 2021-10-27易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作为安全和维护版本发布。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1. 共享文件
插件:共享文件
漏洞:管理员+存储的跨站点脚本
补丁版本:1.6.61
严重性评分:低
2. 二维码重定向器
插件: QR 重定向器
漏洞:贡献者+存储的跨站点脚本
补丁版本:1.6.1
严重性评分:中
插件: QR 重定向器
漏洞:订阅者+任意 QR 重定向响应状态更新
补丁版本:1.6
严重性评分:中
3. MouseWheel 平滑滚动
插件: MouseWheel 平滑滚动
漏洞:通过 CSRF 的插件设置更新
补丁版本:5.7
严重性评分:中
4. 插入页面
插件:插入页面
漏洞:贡献者+任意帖子/页面访问
补丁版本:3.7.0
严重性评分:中
插件:插入页面
漏洞:贡献者+存储的跨站点脚本
补丁版本:3.7.0
严重性评分:中
5. SEO重定向
插件: SEO重定向
漏洞:订阅者+ SQL 注入
补丁版本:8.2
严重性评分:高
6. 贝宝捐赠
插件:贝宝捐赠
漏洞:管理员+存储的跨站点脚本
补丁版本:1.3.2
严重性评分:低
7. 为 IDX 经纪商留下深刻印象
插件: IDX Broker 的 IMpress
漏洞:反射跨站脚本
补丁版本:3.0.6
严重性评分:高
8.简单的JWT登录
插件:简单的 JWT 登录
漏洞:通过 CSRF 对站点接管的任意设置更新
补丁版本:3.2.1
严重性评分:高
9. 我的门票
插件:我的门票
漏洞:订阅者+ SQL 注入
补丁版本:1.8.31
严重性评分:高
10. 通过 Sprout Invoices 为客户开具发票
插件:通过 Sprout Invoices 为客户开具发票
漏洞:管理员+存储的跨站点脚本
补丁版本:19.9.7
严重性评分:低
11. 电子邮件日志
插件:电子邮件日志
漏洞:Admin+ SQL 注入
补丁版本:2.4.7
严重性评分:中
12. WP 性能得分助推器
插件WP 性能得分助推器
漏洞:通过 CSRF 更改设置
补丁版本:2.1
严重性评分:中
13. Active Directory 集成/LDAP 集成
插件: Active Directory 集成/LDAP 集成
漏洞:订阅者+ SQL 注入
补丁版本:3.6.95
严重性评分:高
14. 上桌
插件: TableOn
漏洞:反射跨站脚本
补丁版本:1.0.1
严重性评分:中
15. 响应式图像滑块、照片库和轮播
插件:响应式图像滑块、照片库和轮播
漏洞:通过 CSRF 进行滑块克隆/保存/删除
补丁版本:1.3.2
严重性评分:中
插件:响应式图像滑块、照片库和轮播
漏洞:订阅者+任意帖子访问
补丁版本:1.3.6
严重性评分:中
16. WP站点地图页面
插件: WP 站点地图页面
漏洞:管理员+存储的跨站点脚本
补丁版本:1.7.0
严重性评分:低
17.流
插件:流
漏洞:Admin+ SQL 注入
补丁版本:3.8.2
严重性评分:中
18. 有帮助
插件:有帮助
漏洞:管理员+存储的跨站点脚本
补丁版本:4.4.59
严重性评分:低
19. 学习出版社
插件: LearnPress
漏洞:管理员+存储的跨站点脚本
补丁版本:4.1.3.2
严重性评分:低
20. 内容分期
插件:内容暂存
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
21. 泄漏的付费墙
插件:泄漏的付费墙
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复
严重性评分:低
22. 导师 LMS
插件: Tutor LMS
漏洞:反射跨站脚本
补丁版本:1.9.11
严重性评分:中
23. 带有光滑滑块的徽标展示柜
插件:带有 Slick Slider 的徽标展示柜
漏洞:作者+存储的跨站点脚本
补丁版本:1.2.4
严重性评分:中
24.强大的表单生成器
插件:强大的表单生成器
漏洞:未经身份验证的存储跨站脚本
补丁版本:4.09.05
严重性评分:低
25. 下载插件
插件:下载插件
漏洞:订阅者+任意插件激活
补丁版本:1.6.1
严重性评分:中
26. 图像到 WebP
插件:图像到 WebP
漏洞:多个跨站请求伪造(CSRF)
补丁版本:1.9
严重性评分:中
插件:图像到 WebP
漏洞:经过身份验证的本地文件包含
补丁版本:1.9
严重性评分:低
27. MStore API
插件: MStore API
漏洞:未经身份验证的 PHP 文件上传
补丁版本:3.4.5
严重性评分:严重
28. 简单的数字下载
插件:轻松数字下载
漏洞:反射跨站脚本
补丁版本:2.11.2.1
严重性评分:高
29. 高级访问管理器
插件:高级访问管理器
漏洞:管理员+存储的跨站点脚本
补丁版本:6.8.0
严重性评分:低
30. YOP 民意调查
插件: YOP 民意调查
漏洞:反射跨站脚本
补丁版本:6.1.2
严重性评分:中
31. WP附件导出
插件: WP 附件导出
漏洞:未经身份验证的帖子下载
补丁版本:0.2.4
严重性评分:高
32.帖子上的内容文本滑块
插件:帖子上的内容文本滑块
漏洞:经过身份验证的存储跨站脚本 (XSS)
补丁版本:6.9
严重性评分:中
33. 冰格
插件: Icegram
漏洞:管理员+存储的跨站点脚本
补丁版本:2.0.3
严重性评分:低
34. 更好的链接
插件: BetterLinks
漏洞:管理员+存储的跨站点脚本
补丁版本:1.2.6
严重性评分:低
35.LearnDash
插件: LearnDash
漏洞:未经身份验证的任意文件上传
补丁版本:2.5.4
严重性评分:严重
36. 形象老板
插件: ImageBoss
漏洞:管理员+存储的跨站点脚本
补丁版本:3.0.6
严重性评分:低
37. 成型机
插件:形成者
漏洞:管理员+存储的跨站点脚本
补丁版本:1.2.4
严重性评分:低
38. MPL-出版商
插件: MPL-Publisher
漏洞:管理员+存储的跨站点脚本
补丁版本:1.30.4
严重性评分:低
39.元素
插件:元素
漏洞:DOM 跨站脚本
补丁版本:3.1.4
严重性评分:中
40. 时髦的社交分享
插件:时髦的社交分享
漏洞:缺少对 PHP 对象注入的访问控制
补丁版本:3.3.24
严重性评分:中
41. 饼图寄存器
插件:饼图寄存器
漏洞:开放重定向
补丁版本:3.7.2.4
严重性评分:中
42. 高级表格
插件:高级表单
漏洞:通过 IDOR 更新订阅者+任意用户电子邮件地址
补丁版本:1.6.9
严重性评分:高
插件:高级表单专业版
漏洞:通过 IDOR 更新订阅者+任意用户电子邮件地址
补丁版本:1.6.9
严重性评分:高
43. Catch 主题演示导入
插件: Catch Themes Demo Import
漏洞:Admin+任意文件上传
补丁版本:1.8
严重性评分:严重
44.简单的工作板
插件:简单的工作板
漏洞:管理员+存储的跨站点脚本
补丁版本:2.9.5
严重性评分:低
45. 象牙搜索
插件:象牙搜索
漏洞:反射跨站脚本
补丁版本:4.7
严重性评分:高
46. 年龄之门
插件:年龄之门
漏洞:经过身份验证的存储跨站点脚本
补丁版本:2.16.4
严重性评分:严重
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1.扫描已知的网站漏洞
iThemes Security Pro 插件扫描 WordPress 网站被黑客入侵的第一大原因:过时的插件和具有已知漏洞的主题。
2. 自动更新到安全版本
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3. 监控文件更改
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。