WordPress 漏洞综述：2021 年 2 月，第 1 部分

已发表: 2021-02-10

2 月上半月披露了新的 WordPress 插件和主题漏洞。这篇文章涵盖了最近的 WordPress 插件、主题和核心漏洞，以及如果您在网站上运行易受攻击的插件或主题之一时该怎么做。

WordPress 漏洞综述分为三个不同的类别：WordPress 核心、WordPress 插件和 WordPress 主题。

每个漏洞的严重性等级为低、中、高或严重。严重性评级基于通用漏洞评分系统。

在二月，第 1 部分报告

WordPress 核心漏洞

本月没有披露任何新的 WordPress 核心漏洞。

WordPress 插件漏洞

1. uListing –关键

uListing 1.7 以下的版本存在多个漏洞，包括未经身份验证的 SQL 注入、未经身份验证的任意帐户创建和未经身份验证的 WordPress 选项更改。

该漏洞已修补，您应该更新到 1.7 版。

2. 超级表格 –关键

低于 4.9.703 的 Super Forms 版本有一个未经身份验证的 PHP 文件上传到 RCE 漏洞。

该漏洞已修补，您应该更新到版本 4.9.703。

3. Modern Events Calendar Lite –关键

低于 5.16.5 的 Modern Events Calendar Lite 版本存在多个问题，包括经过身份验证的任意文件上传导致远程代码执行漏洞。

该漏洞已修补，您应该更新到版本 5.16.5。

4. 象牙搜索 –中

低于 4.5.11 的 Ivory Search 版本有一个 Authenticated Reflected Cross-Site Scripting 漏洞。

该漏洞已修补，您应该更新到版本 4.5.11。

5. WP 编辑器 –关键

低于 1.2.7 的 WP Editor 版本有一个 Authenticated SQL Injection 漏洞。

该漏洞已修补，您应该更新到 1.2.7 版。

6. MStore API –高

低于 3.2.0 的 MStore API 版本有一个 Authentication Bypass With Sign In With Apple 漏洞。

该漏洞已修补，您应该更新到版本 3.2.0。

7. Popup Builder –中

低于 3.74 的 Popup Builder 版本具有 Authenticated Reflected Cross-Site Scripting 漏洞。

该漏洞已修补，您应该更新到 3.74 版。

8. 礼券 -重要

所有版本的礼券都存在未经身份验证的 SQL 盲注漏洞。

删除插件，直到发布安全修复程序。

9. 名称目录 –中

低于 1.18 的名称目录版本具有跨站点请求伪造漏洞。

该漏洞已修补，您应该更新到 1.18 版。

10. 联系表 7 样式 –高

Contact Form 7 Style 的所有版本都存在跨站请求伪造到存储的跨站脚本漏洞。

删除插件，直到发布安全修复程序。

11. 终极 GDPR 和 CCPA 合规工具包——关键

最终 GDPR 和 CCPA 合规工具包版本低于 2.5 未经身份验证的插件设置导出和导入导致恶意重定向漏洞。

该漏洞已修补，您应该更新到 2.5 版。

12. 喜欢按钮评分？ LikeBtn –高

喜欢按钮评级？低于 2.6.32 的 LikeBtn 版本具有未经身份验证的任意博客设置更改和未经身份验证的完整读取 SSRF 漏洞。

该漏洞已修补，您应该更新到版本 2.6.32。

13.付费会员专业版 -中

低于 2.5.3 的付费会员专业版存在身份验证绕过漏洞，导致未经授权的订单信息泄露。

该漏洞已修补，您应该更新到 2.5.3 版。

14. Supsystic 备份 –关键

Supsystic Backup 的所有版本都存在本地文件包含漏洞。

删除插件，直到发布安全修复程序。

15. Supsystic 的联系表 –关键

Supsystic 的所有版本的 Contact Form 都有一个 Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

16. Supsystic 的数据表生成器——关键

Supsystic 的 Supsystic Data Tables Generator 的所有版本都存在 Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

17. Supsystic 的数字出版物 – Medium

Supsystic 的所有版本的 Digital Publications 都有一个经过身份验证的存储跨站点脚本漏洞。

删除插件，直到发布安全修复程序。

18. Supsystic 的会员资格 –关键

Supsystic 的所有版本的 Membership 都有一个 Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

19. Supsystic 通讯 –关键

Supsystic 的所有版本的 Newsletter 都有一个 Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

20. Supsystic 定价表 –关键

Supsystic 的所有版本的 Pricing Table 都有一个 Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

21. Supsystic 的 Ultimate Maps –关键

所有版本都有一个 Ultimate Maps by Supsystic Authenticated SQL Injection 漏洞。

删除插件，直到发布安全修复程序。

22. NextGen Gallery –关键

NextGen Gallery 3.5.0 以下版本存在 CSRF、文件上传、存储型 XSS 和 RCE 漏洞。

该漏洞已修补，您应该更新到版本 3.5.0。

23. 谷歌地图的地图块 – Medium

低于 1.32 版本的 Google Maps 的 Map Block 具有破坏访问控制漏洞，导致未经授权的 Google API 密钥更改。

该漏洞已修补，您应该更新到 1.32 版。

WordPress 主题漏洞

1. Wyzi –中

低于 2.4.3 的 Wyzi 版本具有 Reflected Cross-Site Scripting 漏洞。

该漏洞已修补，您应该更新到 2.4.3 版。

2. 多个 Parallelus 主题 – Medium

低于 2.0 的多个 Parallelus 主题版本具有反射跨站点脚本漏洞。

该漏洞已修补，您应该更新到 2.0 版。

二月安全提示：为什么你应该记录网站安全活动

安全日志记录应该是 WordPress 安全策略的重要组成部分。为什么？

日志记录和监控不足会导致检测安全漏洞的延迟。大多数违规研究表明，检测违规的时间超过 200 天！

这段时间允许攻击者破坏其他系统、修改、窃取或破坏更多数据。因此，“日志记录不足”登上了 OWASP Web 应用程序安全风险的前 10 名。

WordPress 安全日志在您的整体安全策略中有几个好处，可以帮助您：

识别并阻止恶意行为。
发现可以提醒您违规的活动。
评估造成了多少损害。
帮助修复被黑网站。

如果您的网站确实遭到黑客入侵，您将需要最好的信息来帮助快速调查和恢复。

好消息是 iThemes Security Pro 可以帮助您实现网站日志记录。 iThemes Security Pro 的 WordPress 安全日志会为您跟踪所有这些网站活动：

WordPress 蛮力攻击
文件更改
恶意软件扫描
用户活动

然后，您的日志中的统计信息会显示在实时 WordPress 安全仪表板中，您可以从 WordPress 管理仪表板查看。

查看此功能聚焦帖子，我们在其中解压缩了使用 iThemes Security Pro 将 WordPress 安全日志添加到您的网站的所有步骤。

看看它怎么运作

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件，提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。借助 WordPress、双因素身份验证、强力保护、强密码强制执行等，您可以为您的网站增加一层额外的安全性。

获取 iThemes 安全专业版

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。他是一个巨大的书呆子，喜欢学习所有新旧技术。你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。