WordPress 漏洞報告：2021 年 4 月，第 3 部分

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這篇文章涵蓋了最近的 WordPress 插件、主題和核心漏洞，以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別：WordPress 核心、WordPress 插件和 WordPress 主題。 每個漏洞的嚴重性等級為低、中、高或嚴重。 嚴重性評級基於通用漏洞評分系統。

WordPress 核心漏洞

WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外，還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本，建議您立即更新您的站點！

WordPress 插件漏洞

1. Elementor 的 Livemesh 插件

漏洞：存儲跨站腳本（XSS）
已修補版本：6.8
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 6.8+ 版本。

2. HT Mega – Elementor 的絕對插件

漏洞：存儲跨站腳本（XSS）
已修補版本：1.5.7
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 1.5.7+ 版本。

3. WooLentor – WooCommerce Elementor 插件

漏洞：存儲跨站腳本（XSS）
已修補版本：1.8.6
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 1.8.6+ 版本。

4. 好友出版社

漏洞：多個經過身份驗證的 REST API 漏洞
已修補版本：7.3.0
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 7.3.0+ 版本。

5. Elementor 的 PowerPack 插件

漏洞：存儲跨站腳本（XSS）
已修補版本：2.3.2
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 2.3.2+ 版本。

6. 圖像懸停效果 - Elementor Addon

漏洞：存儲跨站腳本（XSS）
已修補版本：1.3.4
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 1.3.4+ 版本。

7. Rife Elementor 擴展和模板

漏洞：存儲跨站腳本（XSS）
已修補版本：1.1.6
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 1.1.6+ 版本。

8. Elementor 的 Plus 插件

漏洞：存儲跨站腳本（XSS）
已修補版本：2.0.6
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 2.0.6+ 版本。

9. Elementor 的多合一插件

漏洞：存儲跨站腳本（XSS）
修補版本：2.3.10
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到版本 2.3.10。

10. Elementor 的 JetWidgets

漏洞：存儲跨站腳本（XSS）
已修補版本：
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 6.8+ 版本。

11. Elementor 的新浪擴展

漏洞：存儲跨站腳本（XSS）
修補版本：3.3.12
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 3.3.12+ 版本。

12. Elementor 的終極插件

漏洞：存儲跨站腳本（XSS）
修補版本：1.30.0
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 1.30.0+ 版本。

13. 體能計算器

漏洞：跨站請求偽造到跨站腳本
已修補版本：1.9.6
嚴重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

該漏洞已修補，因此您應該更新到 1.9.6+ 版本。

14. 用戶權限訪問管理器

漏洞：不正確的訪問控制
已修補版本：1.0.4
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

該漏洞已修補，因此您應該更新到 1.0.4+ 版本。

15. Elementor 的巧妙插件

漏洞：存儲跨站腳本XSS
已修補版本：2.1.0
嚴重性：中 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

該漏洞已修補，因此您應該更新到 2.1.0+ 版本。

16. 簡單的數字下載

漏洞：通過CSRF未經授權的Stripe Disconnect
修補版本：2.10.3
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

該漏洞已修補，因此您應該更新到 2.10.3+ 版本。

17. 埃德維斯橋

漏洞：CSRF Nonce Bypass
已修補版本：2.0.7
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

該漏洞已修補，因此您應該更新到 2.0.7+ 版本。

18. WordPress 下載管理器

漏洞：未經授權的下載重複
補丁版本：3.1.18
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

該漏洞已修補，因此您應該更新到 3.1.18+ 版本。

19. Supsystic 的終極地圖

漏洞：反射跨站腳本
已修補版本：1.2.5
嚴重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

該漏洞已修補，因此您應該更新到 1.2.5+ 版本。

20. 由 Supsystic 彈出

漏洞：反射跨站腳本
已修補版本：1.10.5
嚴重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

該漏洞已修補，因此您應該更新到 1.10.5+ 版本。

21. 10Web 圖片庫

漏洞：多重反射跨站腳本
補丁版本：1.5.69
嚴重性：高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

該漏洞已修補，因此您應該更新到 1.5.69+ 版本。

22. 聯繫表格 7 的重定向

漏洞：未經身份驗證的任意隨機數生成
已修補版本：2.3.4
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

漏洞：經過身份驗證的任意插件安裝
已修補版本：2.3.4
嚴重性：中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

漏洞：經過身份驗證的 PHP 對象注入
已修補版本：2.3.4
嚴重性：高– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞：經過身份驗證的任意帖子刪除
已修補版本：2.3.4
嚴重性：中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

漏洞：未受保護的 AJAX 操作
已修補版本：2.3.4
嚴重性：中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

這些漏洞已修補，因此您應該更新到 2.3.4+ 版本。

WordPress 主題漏洞

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件，提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等，您可以為您的網站增加一層額外的安全性。

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。