WordPress 漏洞報告:2021 年 8 月,第 3 部分
已發表: 2021-08-18易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為低、中、高或嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。
作為迄今為止最大的 WordPress 漏洞報告之一,請與您的朋友分享這篇文章,以幫助宣傳並讓 WordPress 對每個人都更安全。
WordPress 核心漏洞
1. 乾淨登錄
插件:乾淨登錄
漏洞:反射跨站腳本
已修補版本:1.12.6.4
嚴重性評分:中等
2.切片WP
插件: SliceWP
漏洞:反射跨站腳本(XSS)
修補版本:1.0.46
嚴重性評分:高
3. WordPress 下載管理器
插件: WordPress 下載管理器
漏洞:通過CSRF更新電子郵件模板設置
修補版本:3.2.13
嚴重性評分:中等
4. 大聲說出來! 電子郵件請願書
插件:大聲說出來! 電子郵件請願書
漏洞:反射跨站腳本
修補版本:2.13.3
嚴重性評分:高
5. 網站評論
插件:網站評論
漏洞:經過身份驗證的存儲型 XSS
已修補版本:5.13.1
嚴重性評分:低
6.導師學習管理系統
插件:導師 LMS
漏洞:反射跨站腳本
已修補版本:1.9.6
嚴重性評分:高
7.WPFront通知欄
插件: WPFront 通知欄
漏洞:經過身份驗證的存儲型 XSS
補丁版本:2.1.08087
嚴重性評分:低
8. 表單生成器
插件:表單生成器
漏洞:反射跨站腳本(XSS)
補丁版本:1.9.8.5
嚴重性評分:高
插件:表單生成器
漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:1.9.8.4
嚴重性評分:低
9. WPvivid 備份
插件: WPvivid 備份
漏洞:反射跨站腳本
修補版本:0.9.56
嚴重性評分:高
10.添加到任何
插件: AddToAny
漏洞:經過身份驗證的存儲型 XSS
修補版本:1.7.46
嚴重性評分:低
11. 阻止垃圾郵件發送者安全
插件:阻止垃圾郵件發送者安全
漏洞:經過身份驗證的存儲型 XSS
補丁版本:2021.18
嚴重性評分:低
12. 關鍵字和元
插件:關鍵字和元
漏洞:CSRF 到存儲跨站腳本 (XSS)
已修補版本:無已知修復
嚴重性評分:高
13.泰坦框架
插件:泰坦框架
漏洞:反射跨站腳本(XSS)
已修補版本:無已知修復
嚴重性評分:高
影響插件:
- 4k-icon-fonts-for-visual-composer –未知修復 – 插件關閉
- adblock-notify-by-bweb –沒有已知的修復
- 附屬親-沒有已知的修復 - 插件關閉
- amp-extensions –沒有已知的修復
- aoi-tori –沒有已知的修復
- awesome-support –沒有已知的修復
- Betteroptin –沒有已知的修復 – 插件關閉
- 邊框加載欄-沒有已知的修復
- catchers-helpdesk –沒有已知的修復
- 類別畫廊-沒有已知的修復
- 類別畫廊woocommerce - 沒有已知的修復
- cf7-customizer –沒有已知的修復
- 臨床wp-核心-沒有已知的修復
- cool-facebook-page-feed-timeline –沒有已知的修復 – 插件關閉
- custom-scroll-bar-designer –沒有已知的修復
- 自定義文本選擇顏色-沒有已知的修復
- 禁用圖像右鍵單擊-沒有已知的修復
- easy-gallery-slideshow –沒有已知的修復
- 簡單的谷歌地圖-沒有已知的修復
- easy-justified-gallery -沒有已知的修復
- email-my-posts –沒有已知的修復
- exit-popup-show –沒有已知的修復
- 飛行搜索小部件塊-沒有已知的修復
- 圖標與鏈接小部件–沒有已知的修復 – 插件已關閉
- icustomizer -沒有已知的修復
- live-chat-facebook-fanpage –沒有已知的修復
- 媒體鏡像-沒有已知的修復
- 移動菜單-沒有已知的修復
- popup-modal-for-youtube –沒有已知的修復
- project-app –沒有已知的修復
- seageek-affiliate-tickets –沒有已知的修復
- seo-dashboard-by-gutewebsites-de –沒有已知的修復
- share-woocommerce-email –沒有已知的修復
- simple-behace-portfolio –沒有已知的修復
- 星星菜單–沒有已知的修復 – 插件關閉
- station-pro –沒有已知的修復
- 與粘性相關的帖子–沒有已知的修復 – 插件已關閉
- tcs3 –沒有已知的修復
- 模板事件日曆-沒有已知的修復
- woocommerce 的總銷售額–沒有已知的修復方法
- tr-easy-google-analytics –沒有已知的修復 – 插件關閉
- 風險事件經理-沒有已知的修復
- w3s-cf7-zoho –沒有已知的修復
- webhotelier -沒有已知的修復
- woo-availability-date –沒有已知的修復
- woo-whatsapp-request-quote –沒有已知的修復 – 插件關閉
- woosaleskit-bar –沒有已知的修復 – 插件關閉
- yandex-money-button –沒有已知的修復
14. WP Fusion Lite
插件: WP Fusion Lite
漏洞:CSRF 數據刪除
修補版本:3.37.30
嚴重性評分:中等
插件: WP Fusion Lite
漏洞:反射跨站腳本(XSS)
修補版本:3.37.30
嚴重性評分:高
插件: WP Fusion Lite
漏洞:反射跨站腳本(XSS)
修補版本:3.37.31
嚴重性評分:高
15.阻止和阻止壞機器人
插件:阻止和阻止壞機器人
漏洞:經過身份驗證的 SQL 注入
已修補版本:6.60
嚴重性評分:中等
16. WP 簡單預訂日曆
插件: WP 簡單預訂日曆
漏洞:經過身份驗證的 SQL 注入
已修補版本:2.0.6
嚴重性評分:中等
17.付費會員訂閱
插件:付費會員訂閱
漏洞:經過身份驗證的 SQL 注入
已修補版本:2.4.2
嚴重性評分:中等
18. RealFaviconGenerator 的 Favicon
插件: RealFaviconGenerator 的 Favicon
漏洞:反射跨站腳本(XSS)
修補版本:1.3.22
嚴重性評分:高
19.支付寶
插件:支付寶
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
20. 收銀機
插件: Cashtomer
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
21. WordPress 會員 SwiftCloud.io
插件: WordPress 會員 SwiftCloud.io
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
22. WordPress 會員 SwiftCloud.io
插件:評論熒光筆
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
23. 簡單的推薦經理
插件: Easy Testimonial Manager
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
24. 嵌入 Youtube 視頻
插件:嵌入 Youtube 視頻
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
25.測驗和調查大師
插件:測驗和調查大師
漏洞:反射跨站腳本
修補版本:7.1.14
嚴重性評分:高
26. 在線預約
插件:在線預約
漏洞:經過身份驗證的存儲跨站腳本 (XSS)
補丁版本:1.39
嚴重性評分:低
27. miniOrange 的谷歌身份驗證器
插件: miniOrange 的 Google Authenticator
漏洞:反射跨站腳本
修補版本:5.4.40
嚴重性評分:高
28. 兩步驗證
插件:兩因素身份驗證
漏洞:反射跨站腳本
已修補版本:1.0.8
嚴重性評分:高
29. 每日禱告時間
插件:每日祈禱時間
漏洞:經過身份驗證的存儲型 XSS
補丁版本:2021.08.10
嚴重性評分:低
30. 自定義帖子視圖生成器
插件:自定義帖子視圖生成器
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
31. FV Flowplayer 視頻播放器
插件: FV Flowplayer 視頻播放器
漏洞:反射跨站腳本
修補版本:7.5.3.727
嚴重性評分:高
32. 圖片庫
插件:圖片庫
漏洞:經過身份驗證的存儲型 XSS
已修補版本:無已知修復
嚴重性評分:低
33. 軟件許可證管理器
插件:軟件許可證管理器
漏洞:反射跨站腳本
補丁版本:4.4.8(插件關閉)
嚴重性評分:高
34. 每頁添加到頁眉
插件:每頁添加到頭部
漏洞:經過身份驗證的存儲型 XSS
已修補版本:無已知修復
嚴重性評分:低
插件:每頁添加到頭部
漏洞:CSRF to Stored XSS
補丁版本: 1.4.4 (插件關閉)
嚴重性評分:高
35.Securimage-WP-Fixed
插件: Securimage-WP-Fixed
漏洞:反射跨站腳本(XSS)
已修補版本:無已知修復
嚴重性評分:高
36. 圖像導出
插件:圖像導出
漏洞:目錄遍歷
已修補版本:無已知修復
嚴重性評分:嚴重
37.帖子上的內容文本滑塊
插件:帖子上的內容文本滑塊
漏洞:經過身份驗證的存儲跨站腳本 (XSS)
已修補版本:6.9
嚴重性評分:中等
38. 聯繫表格生成器
插件:聯繫表格生成器
漏洞:多重跨站請求偽造(CSRF)
已修補版本:無已知修復
嚴重性評分:高
39. Calendar_plugin
插件: Calendar_plugin
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
40. 添加側邊欄
插件:添加側邊欄
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
41. WP SEO 標籤
插件: WP SEO標籤
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
42. 用於 WooCommerce 的 Moova
插件:用於 WooCommerce 的 Moova
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
43. jQuery 標語旋轉器
插件: jQuery Tagline Rotator
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
44. Plugmatter 定價表精簡版
插件: Plugmatter Pricing Table Lite
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
45. 簡單的彈出式時事通訊
插件:簡單的彈出式時事通訊
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
46. TypoFR
插件: TypoFR
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
47. WP 歌本
插件: WP Songbook
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
48. 自定義帖子類型關係
插件:自定義帖子類型關係
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
49. 2Way VideoCalls 和隨機聊天
插件: 2Way VideoCalls 和隨機聊天
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
50. WP 噴泉
插件: WP噴泉
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
51. 媒體使用
插件:媒體使用
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
52. 塗鴉地圖
插件:塗鴉地圖
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
53. 多人遊戲
插件:多人遊戲
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
54. Skaut 集市
插件: Skaut 集市
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
55. 智能電子郵件警報
插件:智能電子郵件警報
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
56. 簡單的 Behance 組合
插件:簡單的 Behance 組合
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
WordPress 主題漏洞
關於負責任披露的說明
您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。
在負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。
安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。
公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。
如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露許多新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露情況,因此 iThemes Security Pro 插件可以輕鬆確保您的站點沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 打開 iThemes Security Pro 站點掃描儀
iThemes Security Pro 插件的 Site Scanner 會掃描 WordPress 網站被黑的第一大原因:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。
要在新安裝時啟用站點掃描,請導航到插件內功能菜單上的站點檢查選項卡,然後單擊切換開關以啟用站點掃描。
要觸發手動站點掃描,請單擊站點掃描安全儀表闆卡上的立即掃描按鈕。
如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。
在站點掃描漏洞頁面上,您將看到是否有針對該漏洞的修復程序。 如果有可用的補丁,您可以單擊“更新插件”按鈕在您的網站上應用此修復程序。
2.開啟版本管理
iThemes Security Pro 中的版本管理功能與站點掃描集成,以在過時的軟件更新速度不夠快時保護您的站點。 如果您在網站上運行易受攻擊的軟件,即使是最強大的安全措施也會失敗。 如果存在已知漏洞且補丁可用,這些設置可以通過選項自動更新到新版本,從而幫助保護您的站點。
從 iThemes Security Pro 的設置頁面,導航到功能屏幕。 單擊站點檢查選項卡。 從這裡,使用切換來啟用版本管理。 使用設置工具,您可以配置更多設置,包括您希望 iThemes Security Pro 如何處理 WordPress、插件、主題和額外保護的更新。
確保在修復漏洞時選擇自動更新框,以便 iThemes Security Pro 在修復站點掃描程序發現的漏洞時自動更新插件或主題。
3. 當 iThemes Security Pro 在您的網站上發現已知漏洞時收到電子郵件警報
啟用站點掃描計劃後,前往插件的通知中心設置。 在此屏幕上,滾動到站點掃描結果部分。
單擊該框以啟用通知電子郵件,然後單擊“保存設置”按鈕。
現在,在任何計劃的站點掃描期間,如果 iThemes Security Pro 發現任何已知漏洞,您將收到一封電子郵件。 電子郵件看起來像這樣。
獲取 iThemes Security Pro 並在今晚輕鬆一點
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。
每週,Michael 都會匯總 WordPress 漏洞報告,以幫助確保您的網站安全。 作為 iThemes 的產品經理,他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子,喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩,在不工作的時候閱讀或聽音樂。
