WordPress 漏洞報告:2021 年 4 月,第 4 部分
已發表: 2021-04-28易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這份報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。 每個漏洞的嚴重性等級為低、中、高或嚴重。 嚴重性評級基於通用漏洞評分系統。
WordPress 核心漏洞
WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外,還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本,建議您立即更新您的站點!
WordPress 插件漏洞
1. 手風琴

漏洞:經過身份驗證的反射跨站點腳本
修補版本:2.2.30
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. Yandex Turbo 的 RSS

漏洞:經過身份驗證的存儲跨站點腳本
補丁版本:1.30
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Kaswara Modern VC 插件
漏洞:未經身份驗證的任意文件上傳
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. WP 內容複製保護和無右鍵單擊

漏洞:通過CSRF任意安裝/激活插件
補丁版本:3.4
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:3.5.1
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. WooCommerce 的條件營銷郵件程序

漏洞:通過CSRF任意安裝/激活插件
補丁版本:1.6
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:1.5.2
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha for admin login page
漏洞:通過CSRF任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. WP 維護模式和站點建設中
漏洞:通過CSRF任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. 樹型站點地圖
漏洞:通過CSRF任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. 登錄保護——限制失敗的登錄嘗試
漏洞:通過CSRF任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. 訪客流量實時統計

漏洞:通過CSRF任意安裝/激活插件
修補版本:2.13
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞:通過低權限用戶任意安裝/激活插件
修補版本:2.12
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. 以用戶或客戶身份登錄

漏洞:通過CSRF任意安裝/激活插件
已修補版本:2.1
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞:通過低權限用戶任意安裝/激活插件
補丁版本:1.8
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. 將 404 重定向到父級

漏洞:反射跨站腳本
已修補版本:1.3.1
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. 選擇所有類別和分類法
漏洞:反射跨站腳本
已修補版本:1.3.2
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. 軟件許可證管理器

漏洞:CSRF to Stored XSS
已修補版本:4.4.6
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. 汽車銷售商——汽車分類廣告腳本
漏洞:未經身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性:嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. 商店定位器 Plus
漏洞:未經身份驗證的存儲跨站腳本
已修補版本:無已知修復
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Elementor Free & Pro 的快樂插件

漏洞:存儲的跨站腳本
免費補丁版本:2.24.0
專業版補丁:1.17.0
嚴重性:中– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP 最快緩存

漏洞:通過路徑遍歷進行身份驗證的任意文件刪除
修補版本:0.9.1.7
嚴重性:低– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
漏洞:拒絕服務
已修補版本:無已知修復
嚴重性:高– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20.WooCommerce

漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:5.2.0
嚴重性:中– CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
WordPress 主題漏洞
WordPress 安全插件可以幫助保護您的網站
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。
獲取 iThemes 安全專業版
每週,Michael 都會匯總 WordPress 漏洞報告,以幫助確保您的網站安全。 作為 iThemes 的產品經理,他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子,喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩,在不工作的時候閱讀或聽音樂。
