WordPress 漏洞報告:2021 年 4 月,第 3 部分
已發表: 2021-04-22易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這篇文章涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。 每個漏洞的嚴重性等級為低、中、高或嚴重。 嚴重性評級基於通用漏洞評分系統。
WordPress 核心漏洞
WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外,還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本,建議您立即更新您的站點!
1. WordPress 5.6 – 5.7
漏洞:影響 PHP 8 的媒體庫中經過身份驗證的 XXE
已修補版本:5.7
嚴重性:高– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
2. WordPress 4.7-5.7
漏洞:經過身份驗證的密碼保護頁面暴露
已修補版本:5.7
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
WordPress 插件漏洞
1. Elementor 的 Livemesh 插件

漏洞:存儲跨站腳本(XSS)
已修補版本:6.8
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
2. HT Mega – Elementor 的絕對插件

漏洞:存儲跨站腳本(XSS)
已修補版本:1.5.7
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
3. WooLentor – WooCommerce Elementor 插件

漏洞:存儲跨站腳本(XSS)
已修補版本:1.8.6
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
4. 好友出版社

漏洞:多個經過身份驗證的 REST API 漏洞
已修補版本:7.3.0
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
5. Elementor 的 PowerPack 插件

漏洞:存儲跨站腳本(XSS)
已修補版本:2.3.2
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
6. 圖像懸停效果 - Elementor Addon

漏洞:存儲跨站腳本(XSS)
已修補版本:1.3.4
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
7. Rife Elementor 擴展和模板

漏洞:存儲跨站腳本(XSS)
已修補版本:1.1.6
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
8. Elementor 的 Plus 插件

漏洞:存儲跨站腳本(XSS)
已修補版本:2.0.6
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
9. Elementor 的多合一插件

漏洞:存儲跨站腳本(XSS)
修補版本:2.3.10
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
10. Elementor 的 JetWidgets

漏洞:存儲跨站腳本(XSS)
已修補版本:
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
11. Elementor 的新浪擴展

漏洞:存儲跨站腳本(XSS)
修補版本:3.3.12
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
12. Elementor 的終極插件

漏洞:存儲跨站腳本(XSS)
修補版本:1.30.0
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

13. 體能計算器

漏洞:跨站請求偽造到跨站腳本
已修補版本:1.9.6
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. 用戶權限訪問管理器

漏洞:不正確的訪問控制
已修補版本:1.0.4
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
15. Elementor 的巧妙插件

漏洞:存儲跨站腳本XSS
已修補版本:2.1.0
嚴重性:中 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
16. 簡單的數字下載

漏洞:通過CSRF未經授權的Stripe Disconnect
修補版本:2.10.3
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
17. 埃德維斯橋

漏洞:CSRF Nonce Bypass
已修補版本:2.0.7
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
18. WordPress 下載管理器

漏洞:未經授權的下載重複
補丁版本:3.1.18
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
19. Supsystic 的終極地圖

漏洞:反射跨站腳本
已修補版本:1.2.5
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
20. 由 Supsystic 彈出

漏洞:反射跨站腳本
已修補版本:1.10.5
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
21. 10Web 圖片庫

漏洞:多重反射跨站腳本
補丁版本:1.5.69
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
22. 聯繫表格 7 的重定向

漏洞:未經身份驗證的任意隨機數生成
已修補版本:2.3.4
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞:經過身份驗證的任意插件安裝
已修補版本:2.3.4
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
漏洞:經過身份驗證的 PHP 對象注入
已修補版本:2.3.4
嚴重性:高– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞:經過身份驗證的任意帖子刪除
已修補版本:2.3.4
嚴重性:中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L
漏洞:未受保護的 AJAX 操作
已修補版本:2.3.4
嚴重性:中– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
WordPress 主題漏洞
WordPress 安全插件可以幫助保護您的網站
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。
每週,Michael 都會匯總 WordPress 漏洞報告,以幫助確保您的網站安全。 作為 iThemes 的產品經理,他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子,喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩,在不工作的時候閱讀或聽音樂。
