WordPress 漏洞综述:2020 年 8 月,第 2 部分

已发表: 2020-10-29

8 月下半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别:WordPress 核心、WordPress 插件和 WordPress 主题。

在本报告中

    WordPress 核心漏洞

    8 月份没有披露 WordPress 核心漏洞。 然而,August 确实带来了一个新的主要 WordPress 版本。 请注意,我们收到了大量关于 5.5 更新破坏网站的报告,所以这里有一个关于 WordPress 5.5 破坏网站的指南:如何修复。

    查看 WordPress 5.5 中的新功能

    WordPress 5.5“Eckstine”发布了! 这个主要版本的 WordPress 专注于“速度、搜索和安全性”,包括对块编辑器界面的 1500 多项更改、150 多项增强功能和功能请求、300 多项错误修复等等。 查看 WordPress 5.5 中的新功能。

    请务必将您的所有网站更新到 WordPress 5.5。

    WordPress 插件漏洞

    1. 终极会员

    低于 2.1.7 的 Ultimate Member 版本具有未经身份验证的开放重定向漏洞。

    该漏洞已修补,您应该更新到 2.1.7 版。

    2.测验和调查大师

    低于 7.0.1 的测验和调查大师版本具有未经身份验证的任意文件删除和任意文件上传漏洞。

    这些漏洞已修补,您应该更新到 7.0.1 版。

    3. 销售媒体

    低于 2.4.2 的 Sell Media 版本具有未经身份验证的反射跨站点脚本漏洞。

    该漏洞已修补,您应该更新到 2.4.2 版。

    4. WordPress 花式灯箱

    低于 1.0.2 的 WordPress FantasyBox Lightbox 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.0.2 版。

    5. WordPress Colorbox 灯箱

    低于 1.1.3 的 WordPress Colorbox Lightbox 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.1.3 版。

    6. 卖照片

    所有版本的 Sell Photo Authenticated Stored Cross-Site Scripting 漏洞。

    删除插件,直到发布安全修复程序。

    7. 响应式 Lightbox2

    低于 1.0.3 的响应式 Lightbox2 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.0.3 版。

    8. NextGEN Gallery 出售照片

    NextGEN Gallery Sell Photo 的所有版本都有一个经过身份验证的存储跨站点脚本漏洞。

    删除插件,直到发布安全修复程序。

    9. 简易媒体下载

    低于 1.1.5 的 Easy Media Download 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.1.5 版。

    10. 内部链接管理器

    所有版本的内部链接管理器都存在多个经过身份验证的存储跨站点脚本漏洞。

    删除插件,直到发布安全修复程序。

    11. 优雅的见证

    Elegant Testimonial 的所有版本都存在多个经过身份验证的存储跨站点脚本漏洞。

    删除插件,直到发布安全修复程序。

    12. 点击顶部

    低于 1.2.7 的版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.2.7 版。

    13. WP 客户评论

    低于 3.4.3 的 WP Customer Reviews 版本具有多个未经身份验证和低权限身份验证的存储型 XSS 漏洞。

    漏洞已修补,您应该更新到 3.4.3 版。

    14. WooCommerce 的折扣规则

    低于 2.1.0 的 WooCommerce 版本的折扣规则存在多个漏洞。

    这些漏洞已修补,您应该更新到 2.1.0 版。

    15. 高级访问管理器

    低于 6.6.2 的 Advanced Access Manager 版本具有 Authenticated Authorization Bypass 和 Privilege Escalation 漏洞。

    这些漏洞已修补,您应该更新到 6.6.2 版。

    16. WooCommerce – NAB 交易

    WooCommerce – 低于 2.1.2 的 NAB Transact 版本具有支付绕过漏洞。

    该漏洞已修补,您应该更新到 2.1.2 版。

    17. Kali 形式

    低于 2.1.2 的 Kali Forms 版本有多个漏洞。

    这些漏洞已修补,您应该更新到 2.1.2 版。

    18. 回复制作人

    低于 7.8.2 的 RSVPMaker 版本具有未经身份验证的 SQL 注入漏洞。

    该漏洞已修补,您应该更新到版本 7.8.2。

    19. 自动优化

    低于 2.7.7 的自动优化版本有一个 Authenticated Arbitrary File Upload 漏洞。

    该漏洞已修补,您应该更新到版本 2.7.7。

    WordPress 主题漏洞

    1. FoodBakery

    FoodBakery 1.9 及以下版本具有未经身份验证的反射型 XSS 漏洞。

    该漏洞已在 1.9 版本中进行了热修补。 但是,没有发布新版本。 因此,有两个版本 1.9,一个易受攻击,一个带有补丁。 您应该联系开发人员以确认您已收到该补丁。

    2. Konzept

    低于 2.5 的 Konzept 版本具有未经身份验证的反射型 XSS 漏洞。

    该漏洞已修补,您应该更新到 2.5 版。

    3. 新星精简版

    低于 1.3.9 的 Nova Lite 版本具有未经身份验证的反射跨站点脚本漏洞。

    该漏洞已修补,您应该更新到 1.3.9 版。

    4. 家庭别墅

    所有版本的 Home Villas 都有多个跨站脚本漏洞。

    删除主题,直到发布安全修复程序。

    5. 地理杂志

    所有版本的 Geo Magazine 都有一个 Unauthenticated Reflected XSS 漏洞。

    删除主题,直到发布安全修复程序。

    使用 iThemes 安全站点扫描保护 WordPress

    您是否知道60% 的网站漏洞涉及补丁可用但未应用的漏洞? 这意味着在您的站点上安装具有已知漏洞的软件可为黑客提供接管您的站点所需的蓝图。

    每天,跟踪每个已披露的 WordPress 漏洞变得越来越难。 您必须将该列表与您在站点上安装的插件和主题的版本进行比较……并确保您不断更新。

    为了解决这个问题,今天我们很高兴地宣布 iThemes Security Pro 插件推出了一种更好的方法来保护您的网站免受软件漏洞的侵害,这是 WordPress 网站被黑客入侵和入侵的罪魁祸首。

    由 iThemes 提供支持的新的、改进的 WordPress 安全站点扫描会自动检查已知的网站漏洞,如果有可用的补丁,iThemes Security Pro 现在会自动为您应用修复程序……所以您不必这样做。 哇。 这是一些安心。

    站点扫描漏洞详情

    WordPress 安全插件可以帮助保护您的网站

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。