WordPress 漏洞報告:2021 年 4 月,第 4 部分

已發表: 2021-04-28

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這份報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。 每個漏洞的嚴重性等級為嚴重。 嚴重性評級基於通用漏洞評分系統。

在 4 月,第 4 部分報告
    將 iThemes 安全 WordPress 漏洞報告發送到您的收件箱
    註冊報告

    WordPress 核心漏洞

    WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外,還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本,建議您立即更新您的站點!

    WordPress 插件漏洞

    1. 手風琴

    漏洞:經過身份驗證的反射跨站點腳本
    修補版本:2.2.30
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到版本 2.2.30+。

    2. Yandex Turbo 的 RSS

    漏洞:經過身份驗證的存儲跨站點腳本
    補丁版本:1.30
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.30+ 版本。

    3. Kaswara Modern VC 插件

    漏洞:未經身份驗證的任意文件上傳
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    4. WP 內容複製保護和無右鍵單擊

    漏洞:通過CSRF任意安裝/激活插件
    補丁版本:3.4
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本:3.5.1
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    該漏洞已修補,因此您應該更新到版本 3.5.1+。

    5. WooCommerce 的條件營銷郵件程序

    漏洞:通過CSRF任意安裝/激活插件
    補丁版本:1.6
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本:1.5.2
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    該漏洞已修補,因此您應該更新到 1.6+ 版本。

    6. Captchinoo, Google recaptcha for admin login page

    漏洞:通過CSRF任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    7. WP 維護模式和站點建設中

    漏洞:通過CSRF任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    8. 樹型站點地圖

    漏洞:通過CSRF任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    9. 登錄保護——限制失敗的登錄嘗試

    漏洞:通過CSRF任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    10. 訪客流量實時統計

    漏洞:通過CSRF任意安裝/激活插件
    修補版本:2.13
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    修補版本:2.12
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    該漏洞已修補,因此您應該更新到 2.13+ 版本。

    11. 以用戶或客戶身份登錄

    漏洞:通過CSRF任意安裝/激活插件
    已修補版本:2.1
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    漏洞:通過低權限用戶任意安裝/激活插件
    補丁版本:1.8
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    該漏洞已修補,因此您應該更新到 2.1+ 版本。

    12. 將 404 重定向到父級

    漏洞:反射跨站腳本
    已修補版本:1.3.1
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.3.1+ 版本。

    13. 選擇所有類別和分類法

    漏洞:反射跨站腳本
    已修補版本:1.3.2
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到 1.3.2+ 版本。

    14. 軟件許可證管理器

    漏洞:CSRF to Stored XSS
    已修補版本:4.4.6
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    該漏洞已修補,因此您應該更新到版本 4.4.6+。

    15. 汽車銷售商——汽車分類廣告腳本

    漏洞:未經身份驗證的 SQL 注入
    已修補版本無已知修復
    嚴重性嚴重– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    16. 商店定位器 Plus

    漏洞:未經身份驗證的存儲跨站腳本
    已修補版本無已知修復
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    17. Elementor Free & Pro 的快樂插件

    漏洞:存儲的跨站腳本
    免費補丁版本:2.24.0
    專業版補丁:1.17.0
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到版本 2.24.0+(免費)/1.17.0+(專業版)。

    18. WP 最快緩存

    WP 最快緩存標誌

    漏洞:通過路徑遍歷進行身份驗證的任意文件刪除
    修補版本:0.9.1.7
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    該漏洞已修補,因此您應該更新到 0.9.1.7+ 版本。

    19. WPGraphQL

    漏洞:拒絕服務
    已修補版本無已知修復
    嚴重性– CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    20.WooCommerce

    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本:5.2.0
    嚴重性– CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    該漏洞已修補,因此您應該更新到 5.2.0+ 版本。

    WordPress 主題漏洞

    本週沒有披露新的主題漏洞。

    WordPress 安全插件可以幫助保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版