WordPress 漏洞综述:2020 年 6 月,第 1 部分

已发表: 2020-08-18

6 月上半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主题

每个漏洞的威胁等级为严重

WordPress 核心漏洞

1. 更新至 WordPress 5.4.2 –关键

WordPress 5.4.2 版现已推出。 这是一个重要的安全和维护版本。 早期版本受到多个安全漏洞的影响,这些漏洞在 5.4.2 版本中得到修复。 如果您还没有更新到 5.4,还有 5.3 及更早版本的更新版本可以修复安全问题。

您可以从 WordPress.org 下载 WordPress 5.4.2,或访问您的WP 管理仪表板 > 更新并单击立即更新。 如果您有支持自动后台更新的站点,它们应该已经更新。

漏洞已修复,您应该更新到 WordPress 5.4.2

WordPress 插件漏洞

到目前为止,本月已经发现了几个新的 WordPress 插件漏洞。 请确保按照以下建议的操作更新插件或完全卸载它。

1. 为联系表 7 拖放多个文件上传 –关键

对于低于 1.3.3.3 的 Contact Form 7 版本的拖放多个文件上传具有未经身份验证的文件上传绕过漏洞。

该漏洞已修补,您应该更新到版本 1.3.3.3。

2. 页面构建器:PageLayer – 拖放式网站构建器 –

页面构建器:PageLayer – 1.1.2 以下的拖放网站构建器版本具有导致 XSS 的未受保护的 AJAX 和导致 XSS 漏洞的 CSRF。

该漏洞已修补,您应该更新到 1.1.2 版。

3. MapPress 地图 –关键

低于 2.54.6 的 MapPress Maps 版本在 AJAX 调用漏洞中存在不正确的功能检查。

该漏洞已修补,您应该更新到版本 2.54.6。

4. 图像照片库最终瓷砖网格 -关键

Image Photo Gallery Final Tiles Grid 版本低于 3.4.19 有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到版本 3.4.19。

5. bbPress –关键

启用新用户注册时,2.6.5 以下的 bbPress 版本具有未经身份验证的权限提升漏洞。

该漏洞已修补,您应该更新到 2.6.5 版。

6. 多调度器 –

Multi Scheduler 的所有版本都有通过 CSRF 漏洞进行的任意记录删除。

删除插件,直到发布安全修复程序。

7. 求职 -

低于 1.5.1 的 JobSearch 版本具有未经身份验证的反射跨站点脚本漏洞。

该漏洞已修补,您应该更新到 1.5.1 版。

8. AdRotate –

低于 5.8.4 的 AdRotate 版本存在 Authenticated SQL Injection 漏洞。

该漏洞已修补,您应该更新到版本 5.8.4。

9. Elementor Page Builder –

低于 2.9.10 的 Elementor Page Builder 版本有一个 Authenticated Stored XSS 漏洞。

该漏洞已修补,您应该更新到版本 2.9.10。

10. SportsPress –

低于 2.7.2 的 SportsPress 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到版本 2.7.2。

WordPress 主题

1. Careerfy –

低于 3.9.0 的 Careerfy 版本有一个未经身份验证的反射跨站脚本漏洞。

该漏洞已修补,您应该更新到版本 3.9.0。

2. 报纸 –

低于 10.3.4 的报纸版本有一个 Authenticated Reflected Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到版本 10.3.4。

新的! 使用 iThemes 安全站点扫描保护您的 WordPress 网站。

您是否知道60% 的网站漏洞涉及补丁可用但未应用的漏洞? 这意味着在您的站点上安装具有已知漏洞的软件可为黑客提供接管您的站点所需的蓝图。

每天,跟踪每个已披露的 WordPress 漏洞变得越来越难。 您必须将该列表与您在站点上安装的插件和主题的版本进行比较……并确保您不断更新。

为了解决这个问题,今天我们很高兴地宣布 iThemes Security Pro 插件推出了一种更好的方法来保护您的网站免受软件漏洞的侵害,这是 WordPress 网站被黑客入侵和入侵的罪魁祸首。

由 iThemes 提供支持的新的、改进的 WordPress 安全站点扫描会自动检查已知的网站漏洞,如果有可用的补丁,iThemes Security Pro 现在会自动为您应用修复程序……所以您不必这样做。 哇。 这是一些安心。

站点扫描漏洞详情

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

通过 10 个关键提示了解有关 WordPress 安全性的更多信息。 立即下载电子书: WordPress 安全指南
现在就下载