WordPress 漏洞報告:2021 年 6 月,第 3 部分

已發表: 2021-06-16

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

每個漏洞的嚴重性等級為嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。 請與您的朋友分享這篇文章,以幫助宣傳並使 WordPress 對每個人都更安全。

在六月,第 3 部分報告
    將每週 WordPress 漏洞報告直接發送到您的收件箱!
    立即註冊

    WordPress 核心漏洞

    截至今天,WordPress 的當前版本是 5.7.2。 請務必確保您的所有網站都是最新的!

    本月沒有披露任何新的 WordPress 核心漏洞。 確保您在所有站點上運行 WordPress 5.7.2。

    WordPress 插件漏洞

    1. 最近

    插件:最近
    漏洞:經過身份驗證的代碼注入
    補丁版本:3.0.5
    嚴重性

    插件:最近
    漏洞:經過身份驗證的存儲跨站點腳本
    修補版本:3.0.5
    嚴重性

    2. WordPress 熱門帖子

    插件: WordPress 熱門帖子
    漏洞:經過身份驗證的代碼注入
    修補版本:5.3.3
    嚴重性評分

    插件: WordPress 熱門帖子
    漏洞:經過身份驗證的存儲跨站點腳本
    修補版本:5.3.3
    嚴重性評分中等

    3. WP 硬化

    插件: WP 強化
    漏洞:通過 URI 反射跨站腳本
    已修補版本:1.2.2
    嚴重性評分中等

    插件: WP 強化
    漏洞:通過 historyvalue 反射跨站腳本
    已修補版本:1.2.2
    嚴重性評分

    4.評論喜歡不喜歡

    插件:評論喜歡不喜歡
    漏洞:添加喜歡/不喜歡繞過
    已修補版本:1.1.4
    嚴重性評分中等

    5. WP 配置文件編輯器

    插件: WP 配置文件編輯器
    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本無已知修復
    嚴重性評分中等

    6. 管理欄免費和專業版

    插件:管理欄免費
    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本:4.3
    嚴重性評分中等

    插件: Admin Columns Pro
    漏洞:經過身份驗證的存儲跨站點腳本
    已修補版本:5.5.1
    嚴重性評分中等

    7. WP 谷歌地圖

    插件: WP 谷歌地圖
    漏洞:經過身份驗證的存儲跨站點腳本
    修補版本:8.1.12
    嚴重性評分中等

    8. WooCommerce 的 Stripe 支付網關

    插件: WooCommerce 的 Stripe 支付網關
    漏洞:反射跨站腳本
    已修補版本:3.6.0
    嚴重性評分

    9. Qtranslate Slug

    插件: Qtranslate Slug
    漏洞:CSRF 繞過
    已修補版本無已知修復
    嚴重性評分中等

    10.自定義css-js-php

    插件:自定義 css-js-php
    漏洞:CSRF 繞過
    已修補版本無已知修復
    嚴重性評分中等

    11. 多重角色

    插件:多個角色
    漏洞:CSRF 繞過
    已修補版本無已知修復
    嚴重性評分中等

    12. WooCommerce 的多供應商市場解決方案

    插件: WooCommerce 的多供應商市場解決方案
    漏洞:CSRF 繞過
    修補版本3.74
    嚴重性評分中等

    13.JoomSport

    JoomSport 標誌

    插件: JoomSport
    漏洞:未經身份驗證的 PHP 對象注入
    已修補版本:5.1.8
    嚴重性評分中等

    14.智能滑塊3

    插件: Smart Slider 3
    漏洞:經過身份驗證的存儲跨站點腳本
    補丁版本:3.5.0.9
    嚴重性評分中等

    15. 簡易 Cookie 政策

    插件:簡易 Cookie 政策
    漏洞:對存儲的跨站點腳本的訪問控制中斷
    已修補版本無已知修復
    嚴重性評分

    16. 維卡電商

    插件: Welcart電子商務
    漏洞:跨站腳本
    已修補版本:2.2.4
    嚴重性評分中等

    17. WP 祈禱

    插件: WP祈禱
    漏洞:通過 CSRF 進行任意插件設置更新
    已修補版本:1.6.7
    嚴重性評分中等

    WordPress 主題漏洞

    1. 詹娜

    主題:詹娜
    漏洞:反射跨站腳本
    已修補版本:5.4.4
    嚴重性評分

    2. 電機主題

    主題:汽車主題
    漏洞:未經身份驗證的本地文件包含
    已修補版本:3.1.0
    嚴重性評分

    3. 房地產 7

    主題:房地產 7
    漏洞:3.1.1
    已修補版本:反射跨站點腳本
    嚴重性評分

    關於負責任披露的說明

    您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。

    負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。

    安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。

    公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。

    如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。

    當 iThemes Security Pro 在您的網站上發現已知漏洞時收到電子郵件警報

    iThemes Security Pro 插件的站點掃描器是另一種保護您的 WordPress 網站免受所有軟件黑客攻擊的首要原因的方法:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。

    如果 iThemes Security Pro 插件在您的站點上發現易受攻擊的插件、主題或 WordPress 核心版本,它可以通過電子郵件向您發送站點掃描的結果。 站點掃描結果將顯示在小部件中。

    如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。

    啟用站點掃描計劃後,前往插件的通知中心設置。 在此屏幕上,滾動到站點掃描結果部分。

    單擊該框以啟用通知電子郵件,然後單擊“保存設置”按鈕

    現在,在任何計劃的站點掃描期間,如果 iThemes Security Pro 發現任何已知漏洞,您將收到一封電子郵件。 電子郵件看起來像這樣。

    站點掃描結果

    獲取 iThemes Security Pro 以保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版

    您是否錯過了任何 6 月 WordPress 漏洞報告?

    趕上下面:

    • 2021 年 6 月,第 1 部分
    • 2021 年 6 月,第 2 部分