WordPress 漏洞報告:2021 年 4 月,第 3 部分

已發表: 2021-04-22

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這篇文章涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。 每個漏洞的嚴重性等級為嚴重。 嚴重性評級基於通用漏洞評分系統。

在 4 月,第 3 部分報告

    WordPress 核心漏洞

    WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外,還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本,建議您立即更新您的站點!

    1. WordPress 5.6 – 5.7

    漏洞:影響 PHP 8 的媒體庫中經過身份驗證的 XXE
    已修補版本:5.7
    嚴重性– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    該漏洞已修補,因此您應該將 WordPress 核心更新到 5.7.1+。

    2. WordPress 4.7-5.7

    漏洞:經過身份驗證的密碼保護頁面暴露
    已修補版本:5.7
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    該漏洞已修補,因此您應該將 WordPress 核心更新到 5.7.1+。

    WordPress 插件漏洞

    1. Elementor 的 Livemesh 插件

    漏洞:存儲跨站腳本(XSS)
    已修補版本:6.8
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 6.8+ 版本。

    2. HT Mega – Elementor 的絕對插件

    漏洞:存儲跨站腳本(XSS)
    已修補版本:1.5.7
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 1.5.7+ 版本。

    3. WooLentor – WooCommerce Elementor 插件

    漏洞:存儲跨站腳本(XSS)
    已修補版本:1.8.6
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 1.8.6+ 版本。

    4. 好友出版社

    漏洞:多個經過身份驗證的 REST API 漏洞
    已修補版本:7.3.0
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 7.3.0+ 版本。

    5. Elementor 的 PowerPack 插件

    漏洞:存儲跨站腳本(XSS)
    已修補版本:2.3.2
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 2.3.2+ 版本。

    6. 圖像懸停效果 - Elementor Addon

    漏洞:存儲跨站腳本(XSS)
    已修補版本:1.3.4
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 1.3.4+ 版本。

    7. Rife Elementor 擴展和模板

    漏洞:存儲跨站腳本(XSS)
    已修補版本:1.1.6
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 1.1.6+ 版本。

    8. Elementor 的 Plus 插件

    漏洞:存儲跨站腳本(XSS)
    已修補版本:2.0.6
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 2.0.6+ 版本。

    9. Elementor 的多合一插件

    漏洞:存儲跨站腳本(XSS)
    修補版本:2.3.10
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到版本 2.3.10。

    10. Elementor 的 JetWidgets

    漏洞:存儲跨站腳本(XSS)
    已修補版本
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 6.8+ 版本。

    11. Elementor 的新浪擴展

    漏洞:存儲跨站腳本(XSS)
    修補版本:3.3.12
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 3.3.12+ 版本。

    12. Elementor 的終極插件

    Ultimate Addon Elementor 徽標

    漏洞:存儲跨站腳本(XSS)
    修補版本:1.30.0
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 1.30.0+ 版本。

    13. 體能計算器

    漏洞:跨站請求偽造到跨站腳本
    已修補版本:1.9.6
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.9.6+ 版本。

    14. 用戶權限訪問管理器

    漏洞:不正確的訪問控制
    已修補版本:1.0.4
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.0.4+ 版本。

    15. Elementor 的巧妙插件

    漏洞:存儲跨站腳本XSS
    已修補版本:2.1.0
    嚴重性:中 – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 2.1.0+ 版本。

    16. 簡單的數字下載

    Easy Digital Downloads 徽標

    漏洞:通過CSRF未經授權的Stripe Disconnect
    修補版本:2.10.3
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

    該漏洞已修補,因此您應該更新到 2.10.3+ 版本。

    17. 埃德維斯橋

    漏洞:CSRF Nonce Bypass
    已修補版本:2.0.7
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

    該漏洞已修補,因此您應該更新到 2.0.7+ 版本。

    18. WordPress 下載管理器

    WordPress 下載管理器徽標

    漏洞:未經授權的下載重複
    補丁版本:3.1.18
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    該漏洞已修補,因此您應該更新到 3.1.18+ 版本。

    19. Supsystic 的終極地圖

    漏洞:反射跨站腳本
    已修補版本:1.2.5
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.2.5+ 版本。

    20. 由 Supsystic 彈出

    漏洞:反射跨站腳本
    已修補版本:1.10.5
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.10.5+ 版本。

    21. 10Web 圖片庫

    圖片庫由 10Web 標誌

    漏洞:多重反射跨站腳本
    補丁版本:1.5.69
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.5.69+ 版本。

    22. 聯繫表格 7 的重定向

    漏洞:未經身份驗證的任意隨機數生成
    已修補版本:2.3.4
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    漏洞:經過身份驗證的任意插件安裝
    已修補版本:2.3.4
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    漏洞:經過身份驗證的 PHP 對象注入
    已修補版本:2.3.4
    嚴重性– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    漏洞:經過身份驗證的任意帖子刪除
    已修補版本:2.3.4
    嚴重性– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

    漏洞:未受保護的 AJAX 操作
    已修補版本:2.3.4
    嚴重性– CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    這些漏洞已修補,因此您應該更新到 2.3.4+ 版本。

    WordPress 主題漏洞

    本週沒有披露新的主題漏洞。

    WordPress 安全插件可以幫助保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    WordPress 漏洞報告