WordPress 漏洞報告:2021 年 10 月,第 2 部分
已發表: 2021-10-13易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作為安全和維護版本發布。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. 簡單的 PayPal 立即購買按鈕
插件: Easy PayPal 立即購買按鈕
漏洞:CSRF 到存儲的跨站點腳本
補丁版本:1.7.3
嚴重性評分:高
2. 活動變得簡單
插件:活動變得簡單
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.2.24
嚴重性評分:低
3. BP 更好的消息
插件: BP 更好的消息
漏洞:反射跨站腳本
補丁版本:1.9.9.41
嚴重性評分:高
插件: BP 更好的消息
漏洞:多個 CSRF
補丁版本:1.9.9.41
嚴重性評分:中
4. 主題生成器
插件:主題生成器
漏洞:反射跨站腳本
補丁版本:5.3.2
嚴重性評分:高
5. 遠期到期標頭
插件:遠期到期標頭
漏洞:通過 CSRF 更新插件的設置
補丁版本:1.5
嚴重性評分:中
6. 圖像源控制
插件:圖像源控制
漏洞:貢獻者+任意發布元值變化
補丁版本:2.3.1
嚴重性評分:中
7.徽標滑塊和展示櫃
插件:徽標滑塊和展示櫃
漏洞:編輯器插件的設置更新
補丁版本:1.3.37
嚴重性評分:低
8. WooCommerce 的 Cardinity 支付網關
插件: WooCommerce 的 Cardinity 支付網關
漏洞:反射跨站腳本
補丁版本:3.0.7
嚴重性評分:高
9. Sonaar 用於音樂、廣播和播客的 MP3 音頻播放器
插件: Sonaar 用於音樂、廣播和播客的 MP3 音頻播放器
漏洞:多個管理員+跨站點腳本
補丁版本:2.4.2
嚴重性評分:低
10. 貝寶捐贈
插件:貝寶捐贈
漏洞:CSRF 可任意發布刪除
補丁版本:1.3.1
嚴重性評分:中
插件:貝寶捐贈
漏洞:CSRF 到存儲的跨站點腳本
補丁版本:1.3.1
嚴重性評分:高
11. 即將推出,正在建設和維護模式下 Dazzler
插件:即將推出,正在建設和維護模式下由 Dazzler
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.6.7
嚴重性評分:低
12. 翻譯 WordPress – 谷歌語言翻譯
插件:翻譯 WordPress – 谷歌語言翻譯
漏洞:管理員+存儲的跨站點腳本
補丁版本:6.0.12
嚴重性評分:低
13. Booking.com 產品助手
插件: Booking.com 產品助手
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
14. Booking.com 橫幅創作者
插件: Booking.com Banner Creator
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
15.簡單的下載監視器
插件:簡單的下載監視器
漏洞:未經授權的日誌重置
補丁版本:3.9.6
嚴重性評分:中
插件:簡單的下載監視器
漏洞:任意縮略圖刪除
補丁版本:3.9.6
嚴重性評分:中
插件:簡單的下載監視器
漏洞:未經身份驗證的日誌訪問
補丁版本:3.9.6
嚴重性評分:中
插件:簡單的下載監視器
漏洞:反射跨站腳本
補丁版本:3.9.5
嚴重性評分:高
插件:簡單的下載監視器
漏洞:貢獻者+通過文件縮略圖存儲的跨站點腳本
補丁版本:3.9.5
嚴重性評分:高
16. 雙向聊天
插件:雙向聊天
漏洞:多個 CSRF
補丁版本:3.1.5
嚴重性評分:中
插件:雙向聊天
漏洞:管理員+本地文件包含
補丁版本:3.1.5
嚴重性評分:低
17. WP-召回
插件: WP-召回
漏洞:反射跨站腳本
補丁版本:16.24.48
嚴重性評分:高
18. JobSearch WP工作委員會
插件: JobSearch WP 工作板
漏洞:訂閱者+任意博客選項更新
補丁版本:1.8.2
嚴重性評分:高
插件: JobSearch WP 工作板
漏洞:未經身份驗證的插件設置更新
補丁版本:1.8.2
嚴重性評分:中
插件: JobSearch WP 工作板
漏洞:訂閱者+添加/更新計劃呼叫
補丁版本:1.8.2
嚴重性評分:中
19. TheCartPress 電子商務購物車
插件: TheCartPress 電子商務購物車
漏洞:CSRF 到存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
20. MStore API
插件: MStore API
漏洞:未經身份驗證的 PHP 文件上傳
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:嚴重
21.媒體文件重命名器 - 自動和手動重命名
插件:媒體文件重命名器 - 自動和手動重命名
漏洞:通過 CSRF 的媒體標題/文件名/鎖定狀態更新
補丁版本:5.2.7
嚴重性評分:中
22. 批量貓
插件:批處理貓
漏洞:訂閱者+任意類別添加/設置/刪除帖子
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
23. qTranslate X
插件: qTranslate X
漏洞:多個管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
24. 世界旅游資訊
插件:世界旅遊信息
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
25. WP調查加
插件: WP Survey Plus
漏洞:訂閱者+ AJAX 調用
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
26. WP站點地圖頁面
插件: WP 站點地圖頁面
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復
嚴重性評分:低
27. WP Bannerize 2.0.0
插件: WP Bannerize 2.0.0
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
28. 精靈 WP Favicon
插件:精靈 WP Favicon
漏洞:通過 CSRF 任意更改 Favicon
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
29、鳳凰傳媒更名
插件:鳳凰傳媒更名
漏洞:作者任意媒體文件重命名
補丁版本:3.4.4
嚴重性評分:中
30. 訪客流量實時統計
插件:訪客流量實時統計
漏洞:訂閱者+ SQL 注入
補丁版本:3.9
嚴重性評分:高
31. AddToAny 分享按鈕
插件: AddToAny 分享按鈕
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.7.48
嚴重性評分:低
32.強大的表單生成器
插件:強大的表單生成器
漏洞:管理員+存儲的跨站點腳本
補丁版本:5.0.07
嚴重性評分:低
33. 防彈安全
插件:防彈安全
漏洞:敏感信息洩露
補丁版本:5.2
嚴重性評分:中
34. WP全部出口
插件: WP全部導出
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.3.1
嚴重性評分:低
35. 將 404 錯誤頁面重定向到主頁或帶有日誌的自定義頁面
插件:將 404 錯誤頁面重定向到主頁或帶有日誌的自定義頁面
漏洞:通過 CSRF 刪除日誌
補丁版本:1.7.9
嚴重性評分:中
36. 訪問演示導入器
插件:訪問演示導入器
漏洞:訂閱者+任意文件上傳
補丁版本:1.0.7
嚴重性評分:高
37.下載監視器
插件:下載監視器
漏洞:未經身份驗證的日誌下載
補丁版本:1.9.7
嚴重性評分:中
插件:下載監視器
漏洞:反射跨站腳本(XSS)
補丁版本:1.7.1
嚴重性評分:中
插件:下載監視器
漏洞:經過身份驗證的目錄列表
補丁版本:1.6.4
嚴重性評分:中
插件:下載監視器
漏洞:多重反射跨站腳本
補丁版本:3.3.6.2
嚴重性評分:中
38.無限彈出窗口
插件:無限彈出窗口
漏洞:作者+ SQL注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
39. Schreikasten
插件: Schreikasten
漏洞:作者+ SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
40. 發佈內容 XMLRPC
插件:發佈內容 XMLRPC
漏洞:作者+ SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
41.哇形式
插件:哇形式
漏洞:作者+ SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
42. 自動超鏈接
插件: G 自動超鏈接
漏洞:作者+ SQL注入
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:中
43.變色龍CSS
插件:變色龍 CSS
漏洞:訂閱者+ SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:嚴重
44. 蜘蛛目錄
插件: SpiderCatalog
漏洞:作者+ SQL注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
45. 支持板
插件:支持板
漏洞:Agent+ 存儲的跨站腳本
補丁版本:3.3.5
嚴重性評分:中
46. 年齡之門
插件:年齡之門
漏洞:經過身份驗證的存儲跨站點腳本
補丁版本:2.16.4
嚴重性評分:中
47.內聯相關帖子
插件:內聯相關帖子
漏洞:管理員+跨站腳本
補丁版本:3.0.5
嚴重性評分:低
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 掃描已知網站漏洞
iThemes Security Pro 插件掃描 WordPress 網站被黑客入侵的第一大原因:過時的插件和具有已知漏洞的主題。
2. 自動更新到安全版本
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。