WordPress 漏洞綜述:2020 年 8 月,第 2 部分

已發表: 2020-10-29

8 月下半月披露了新的 WordPress 插件和主題漏洞,因此我們希望讓您了解。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。

在本報告中

    WordPress 核心漏洞

    8 月份沒有披露 WordPress 核心漏洞。 然而,August 確實帶來了一個新的主要 WordPress 版本。 請注意,我們收到了大量關於 5.5 更新破壞網站的報告,所以這裡有一個關於 WordPress 5.5 破壞網站的指南:如何修復。

    查看 WordPress 5.5 中的新功能

    WordPress 5.5“Eckstine”發布了! 這個主要版本的 WordPress 專注於“速度、搜索和安全性”,包括對塊編輯器界面的 1500 多項更改、150 多項增強功能和功能請求、300 多項錯誤修復等等。 查看 WordPress 5.5 中的新功能。

    請務必將您的所有網站更新到 WordPress 5.5。

    WordPress 插件漏洞

    1. 終極會員

    低於 2.1.7 的 Ultimate Member 版本具有未經身份驗證的開放重定向漏洞。

    該漏洞已修補,您應該更新到 2.1.7 版。

    2.測驗和調查大師

    低於 7.0.1 的測驗和調查大師版本具有未經身份驗證的任意文件刪除和任意文件上傳漏洞。

    這些漏洞已修補,您應該更新到 7.0.1 版。

    3. 銷售媒體

    低於 2.4.2 的 Sell Media 版本具有未經身份驗證的反射跨站點腳本漏洞。

    該漏洞已修補,您應該更新到 2.4.2 版。

    4. WordPress 花式燈箱

    低於 1.0.2 的 WordPress FantasyBox Lightbox 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 1.0.2 版。

    5. WordPress Colorbox 燈箱

    低於 1.1.3 的 WordPress Colorbox Lightbox 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 1.1.3 版。

    6. 賣照片

    所有版本的 Sell Photo Authenticated Stored Cross-Site Scripting 漏洞。

    刪除插件,直到發布安全修復程序。

    7. 響應式 Lightbox2

    低於 1.0.3 的響應式 Lightbox2 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 1.0.3 版。

    8. NextGEN Gallery 出售照片

    NextGEN Gallery Sell Photo 的所有版本都有一個經過身份驗證的存儲跨站點腳本漏洞。

    刪除插件,直到發布安全修復程序。

    9. 簡易媒體下載

    低於 1.1.5 的 Easy Media Download 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 1.1.5 版。

    10. 內部鏈接管理器

    所有版本的內部鏈接管理器都存在多個經過身份驗證的存儲跨站點腳本漏洞。

    刪除插件,直到發布安全修復程序。

    11. 優雅的見證

    Elegant Testimonial 的所有版本都有多個經過身份驗證的存儲跨站點腳本漏洞。

    刪除插件,直到發布安全修復程序。

    12. 點擊頂部

    低於 1.2.7 的版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 1.2.7 版。

    13. WP 客戶評論

    低於 3.4.3 的 WP Customer Reviews 版本具有多個未經身份驗證和低權限身份驗證的存儲型 XSS 漏洞。

    漏洞已修補,您應該更新到 3.4.3 版。

    14. WooCommerce 的折扣規則

    低於 2.1.0 的 WooCommerce 版本的折扣規則存在多個漏洞。

    這些漏洞已修補,您應該更新到 2.1.0 版。

    15. 高級訪問管理器

    低於 6.6.2 的 Advanced Access Manager 版本具有 Authenticated Authorization Bypass 和 Privilege Escalation 漏洞。

    這些漏洞已修補,您應該更新到 6.6.2 版。

    16. WooCommerce – NAB 交易

    WooCommerce – 低於 2.1.2 的 NAB Transact 版本具有支付繞過漏洞。

    該漏洞已修補,您應該更新到 2.1.2 版。

    17. Kali 形式

    低於 2.1.2 的 Kali Forms 版本有多個漏洞。

    這些漏洞已修補,您應該更新到 2.1.2 版。

    18. 回複製作人

    低於 7.8.2 的 RSVPMaker 版本具有未經身份驗證的 SQL 注入漏洞。

    該漏洞已修補,您應該更新到版本 7.8.2。

    19. 自動優化

    低於 2.7.7 的自動優化版本有一個 Authenticated Arbitrary File Upload 漏洞。

    該漏洞已修補,您應該更新到 2.7.7 版。

    WordPress 主題漏洞

    1. FoodBakery

    FoodBakery 1.9 及以下版本具有未經身份驗證的反射型 XSS 漏洞。

    該漏洞已在 1.9 版本中進行了熱修補。 但是,沒有發布新版本。 因此,有兩個版本 1.9,一個易受攻擊,一個帶有補丁。 您應該聯繫開發人員以確認您已收到該補丁。

    2. Konzept

    低於 2.5 的 Konzept 版本具有未經身份驗證的反射型 XSS 漏洞。

    該漏洞已修補,您應該更新到 2.5 版。

    3. 新星精簡版

    低於 1.3.9 的 Nova Lite 版本具有未經身份驗證的反射跨站點腳本漏洞。

    該漏洞已修補,您應該更新到 1.3.9 版。

    4. 家庭別墅

    所有版本的 Home Villas 都有多個跨站腳本漏洞。

    刪除主題,直到發布安全修復程序。

    5. 地理雜誌

    所有版本的 Geo Magazine 都有一個 Unauthenticated Reflected XSS 漏洞。

    刪除主題,直到發布安全修復程序。

    使用 iThemes 安全站點掃描保護 WordPress

    您是否知道60% 的網站漏洞涉及補丁可用但未應用的漏洞? 這意味著在您的站點上安裝具有已知漏洞的軟件可為黑客提供接管您的站點所需的藍圖。

    每一天,跟踪每個公開的 WordPress 漏洞變得越來越難。 您必須將該列表與您在站點上安裝的插件和主題版本進行比較……並確保您不斷更新。

    為了解決這個問題,今天我們很高興地宣布 iThemes Security Pro 插件推出了一種更好的方法來保護您的網站免受軟件漏洞的侵害,這是 WordPress 網站被黑客入侵和入侵的罪魁禍首。

    由 iThemes 提供支持的新的、改進的 WordPress 安全站點掃描會自動檢查已知的網站漏洞,如果有可用的補丁,iThemes Security Pro 現在會自動為您應用修復程序……所以您不必這樣做。 哇。 這是一些安心。

    站點掃描漏洞詳情

    WordPress 安全插件可以幫助保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。