WordPress 漏洞報告:2021 年 6 月,第 2 部分

已發表: 2021-06-09

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

每個漏洞的嚴重性等級為嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。 請與您的朋友分享這篇文章,以幫助宣傳並使 WordPress 對每個人都更安全。

在六月,第 2 部分報告
    註冊每週 WordPress 安全新聞和更新時事通訊
    現在訂閱

    WordPress 核心漏洞

    截至今天,WordPress 的當前版本是 5.7.2。 請務必確保您的所有網站都是最新的!

    本月沒有披露任何新的 WordPress 核心漏洞。

    WordPress 插件漏洞

    1. Elementor 的 Plus 插件

    插件: Elementor 的 Plus 插件
    漏洞:反射跨站腳本
    修補版本:4.1.12
    嚴重性

    插件: Elementor 的 Plus 插件
    漏洞:打開重定向
    已修補版本:4.1.10
    嚴重性

    插件: Elementor 的 Plus 插件
    漏洞:任意重置密碼電子郵件發送
    已修補版本:4.1.11
    嚴重性

    該漏洞已修補,因此您應該更新到版本 4.1.11+。

    2. 是/否圖表

    插件:是/否圖表
    漏洞:經過身份驗證的 SQL 盲注
    已修補版本:1.0.12
    嚴重性評分

    該漏洞已修補,因此您應該更新到 1.0.12+ 版本。

    3.FooGallery

    插件: FooGallery
    漏洞:經過身份驗證的存儲跨站點腳本
    補丁版本:2.0.35
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 2.0.35+ 版本。

    4.活動日曆WD

    插件:事件日曆 WD
    漏洞:跨站腳本
    修補版本:1.1.45
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 1.1.45+ 版本。

    5. MC4WP:適用於 WordPress 的 Mailchimp

    插件: MC4WP:WordPress Mailchimp
    漏洞:經過身份驗證的任意重定向
    已修補版本:4.8.5
    嚴重性評分中等

    插件: MC4WP:WordPress Mailchimp
    漏洞:通過 CSRF 進行的未經授權的操作
    已修補版本:4.8.5
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 4.8.5+ 版本。

    6.所有404重定向到主頁

    插件:所有 404 重定向到主頁
    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本無已知修復
    嚴重性評分中等

    此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。

    7. 花式產品設計師

    插件:花式產品設計師
    漏洞:未經身份驗證的任意文件上傳和 RCE
    已修補版本:4.6.9
    嚴重性評分嚴重

    該漏洞已修補,因此您應該更新到版本 4.6.9+。

    8.獲取付費

    插件: GetPaid
    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本:2.3.4
    嚴重性評分

    該漏洞已修補,因此您應該更新到 2.3.4+ 版本。

    9.測驗和調查大師

    插件:測驗和調查大師
    漏洞:未經身份驗證的存儲跨站腳本
    補丁版本:7.1.19
    嚴重性評分

    插件:測驗和調查大師
    漏洞:反射跨站腳本
    補丁版本:7.1.18
    嚴重性評分

    該漏洞已修補,因此您應該更新到 7.1.18+ 版本。

    10. 噴氣背包

    噴氣背包標誌

    插件: Jetpack
    漏洞:輪播非發布頁面/帖子附件評論洩露
    補丁版本:9.8
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 9.8+ 版本。

    WordPress 主題漏洞

    無需報告新的 WordPress 主題漏洞。

    關於負責任披露的說明

    您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。

    負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。

    安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。

    公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。

    如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。

    當 iThemes Security Pro 在您的網站上發現已知漏洞時收到電子郵件警報

    iThemes Security Pro 插件的站點掃描器是另一種保護您的 WordPress 網站免受所有軟件黑客攻擊的首要原因的方法:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。

    如果 iThemes Security Pro 插件在您的站點上發現易受攻擊的插件、主題或 WordPress 核心版本,它可以通過電子郵件向您發送站點掃描的結果。 站點掃描結果將顯示在小部件中。

    如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。

    啟用站點掃描計劃後,前往插件的通知中心設置。 在此屏幕上,滾動到站點掃描結果部分。

    單擊該框以啟用通知電子郵件,然後單擊“保存設置”按鈕

    現在,在任何計劃的站點掃描期間,如果 iThemes Security Pro 發現任何已知漏洞,您將收到一封電子郵件。 電子郵件看起來像這樣。

    站點掃描結果

    獲取 iThemes Security Pro 以保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版

    您錯過了 WordPress 漏洞報告的第一期六月嗎?

    趕上下面:

    2021 年 6 月,第 1 部分

    WordPress 漏洞報告