WordPress 漏洞報告:2021 年 5 月,第 3 部分

已發表: 2021-05-19

易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

每個漏洞的嚴重性等級為嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。 請與您的朋友分享這篇文章,以幫助宣傳並使 WordPress 對每個人都更安全。

5 月,第 3 部分報告

    WordPress 核心漏洞

    本週,我們看到了 WordPress 5.7.2 安全版本,其中一個安全問題影響了 3.7 和 5.7 之間的 WordPress 版本。 如果您尚未更新到 5.7,那麼自 3.7 以來的所有 WordPress 版本也已更新,以修復 PHPMailer 安全問題中的對象注入。

    1. WordPress 5.7.2 安全發布

    漏洞:PHPMailer 中的對象注入
    已修補版本:5.7.2
    嚴重性評分中等

    該漏洞已被修補,因此您應該立即將所有站點更新到 WordPress 5.7.2。

    WordPress 插件漏洞

    1. 照片庫

    插件:照片庫
    漏洞:通過圖庫標題驗證存儲的跨站點腳本
    補丁版本:1.5.67
    嚴重性

    該漏洞已修補,因此您應該更新到版本 1.5.67+。

    2. 每週計劃

    插件:每週計劃
    漏洞:經過身份驗證的存儲跨站點腳本
    修補版本:3.4.3
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 3.4.3+ 版本。

    3. 外部媒體

    插件:外部媒體
    漏洞:經過身份驗證的任意文件上傳
    補丁版本:1.0.34
    嚴重性評分嚴重

    該漏洞已修補,因此您應該更新到 1.0.34+ 版本。

    4. WP 超級緩存

    插件: WP Super Cache
    漏洞:經過身份驗證的遠程代碼執行
    已修補版本:1.7.3
    嚴重性評分

    該漏洞已修補,因此您應該更新到 1.7.3+ 版本。

    5. WordPress 數據庫備份

    插件: WordPress 的數據庫備份
    漏洞:經過身份驗證的持久性跨站點腳本
    已修補版本:2.4
    嚴重性評分中等

    該漏洞已修補,因此您應該更新到 2.4+ 版本。

    WordPress 主題漏洞

    1. 中等

    主題:中等
    漏洞:未經身份驗證的反射跨站腳本
    已修補版本無已知修復
    嚴重性評分中等

    此漏洞尚未修補。 卸載並刪除主題,直到發布補丁。

    2. 列表

    主題: Listeo
    漏洞:多個 XSS 和 XFS 漏洞
    已修補版本:1.6.11
    嚴重性評分中等

    漏洞:多個經過身份驗證的 IDOR 漏洞
    已修補版本:1.6.11
    SeverityScore :中等

    該漏洞已修補,因此您應該更新到 1.6.11+ 版本。

    3. 貝洛

    主題: Listeo
    漏洞:經過身份驗證的 XSS 和 XFS
    已修補版本:1.6.0
    嚴重性評分中等

    漏洞:未經身份驗證的反射 XSS 和 XFS
    已修補版本:1.6.0
    SeverityScore :中等

    漏洞:未經身份驗證的 SQL 盲注
    已修補版本:1.6.0
    SeverityScore :嚴重

    該漏洞已修補,因此您應該更新到 1.6.0+ 版本。

    關於負責任披露的說明

    您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。

    負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。

    安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。

    公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。

    如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。

    如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響

    iThemes Security Pro 插件的站點掃描器是另一種保護您的 WordPress 網站免受所有軟件黑客攻擊的首要原因的方法:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。

    檢查的 3 種類型的 WordPress 漏洞

    1. WordPress 漏洞
    2. 插件漏洞
    3. 主題漏洞

    要在新安裝時啟用站點掃描,請導航到 iThemes Security Pro 設置並單擊站點掃描設置模塊上的啟用按鈕。

    要觸發手動站點掃描,請單擊位於安全設置右側欄的站點掃描小部件上的立即掃描按鈕。

    站點掃描結果將顯示在小部件中。

    如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。

    在站點掃描漏洞頁面上,您將看到是否有針對該漏洞的修復程序。 如果有可用的補丁,您可以單擊“更新插件”按鈕在您的網站上應用此修復程序。

    在補丁可用和 iThemes 安全漏洞數據庫更新以反映修復之間可能存在延遲。 在這種情況下,您可以將通知靜音,以便不再收到與漏洞相關的任何警報。

    重要提示:在您確認當前版本包含安全修復程序或漏洞不會影響您的站點之前,您不應忽略漏洞通知。

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版

    wordpress 漏洞報告 - 安全