WordPress 漏洞綜述：2021 年 2 月，第 1 部分

已發表: 2021-02-10

2 月上半月披露了新的 WordPress 插件和主題漏洞。這篇文章涵蓋了最近的 WordPress 插件、主題和核心漏洞，以及如果您在網站上運行易受攻擊的插件或主題之一時該怎麼做。

WordPress 漏洞綜述分為三個不同的類別：WordPress 核心、WordPress 插件和 WordPress 主題。

每個漏洞的嚴重性等級為低、中、高或嚴重。嚴重性評級基於通用漏洞評分系統。

在二月，第 1 部分報告

WordPress 核心漏洞

本月沒有披露任何新的 WordPress 核心漏洞。

WordPress 插件漏洞

1. uListing –關鍵

uListing 1.7 以下的版本存在多個漏洞，包括未經身份驗證的 SQL 注入、未經身份驗證的任意帳戶創建和未經身份驗證的 WordPress 選項更改。

該漏洞已修補，您應該更新到 1.7 版。

2. 超級表格 –關鍵

低於 4.9.703 的 Super Forms 版本有一個未經身份驗證的 PHP 文件上傳到 RCE 漏洞。

該漏洞已修補，您應該更新到版本 4.9.703。

3. Modern Events Calendar Lite –關鍵

低於 5.16.5 的 Modern Events Calendar Lite 版本存在多個問題，包括經過身份驗證的任意文件上傳導致遠程代碼執行漏洞。

該漏洞已修補，您應該更新到版本 5.16.5。

4. 象牙搜索 –中

低於 4.5.11 的 Ivory Search 版本有一個 Authenticated Reflected Cross-Site Scripting 漏洞。

該漏洞已修補，您應該更新到版本 4.5.11。

5. WP 編輯器 –關鍵

低於 1.2.7 的 WP Editor 版本有一個 Authenticated SQL Injection 漏洞。

該漏洞已修補，您應該更新到 1.2.7 版。

6. MStore API –高

低於 3.2.0 的 MStore API 版本有一個 Authentication Bypass With Sign In With Apple 漏洞。

該漏洞已修補，您應該更新到版本 3.2.0。

7. Popup Builder –中

低於 3.74 的 Popup Builder 版本具有 Authenticated Reflected Cross-Site Scripting 漏洞。

該漏洞已修補，您應該更新到 3.74 版。

8. 禮券 -重要

所有版本的禮券都存在未經身份驗證的 SQL 盲注漏洞。

刪除插件，直到發布安全修復程序。

9. 名稱目錄 –中

低於 1.18 的名稱目錄版本具有跨站點請求偽造漏洞。

該漏洞已修補，您應該更新到 1.18 版。

10. 聯繫表 7 樣式 –高

Contact Form 7 Style 的所有版本都存在跨站請求偽造到存儲的跨站腳本漏洞。

刪除插件，直到發布安全修復程序。

11. 終極 GDPR 和 CCPA 合規工具包——關鍵

最終 GDPR 和 CCPA 合規工具包版本低於 2.5 未經身份驗證的插件設置導出和導入導致惡意重定向漏洞。

該漏洞已修補，您應該更新到 2.5 版。

12. 喜歡按鈕評分？ LikeBtn –高

喜歡按鈕評級？低於 2.6.32 的 LikeBtn 版本具有未經身份驗證的任意博客設置更改和未經身份驗證的完整讀取 SSRF 漏洞。

該漏洞已修補，您應該更新到版本 2.6.32。

13.付費會員專業版 -中

低於 2.5.3 的付費會員專業版存在身份驗證繞過漏洞，導致未經授權的訂單信息洩露。

該漏洞已修補，您應該更新到 2.5.3 版。

14. Supsystic 備份 –關鍵

Supsystic Backup 的所有版本都存在本地文件包含漏洞。

刪除插件，直到發布安全修復程序。

15. Supsystic 的聯繫表 –關鍵

Supsystic 的所有版本的 Contact Form 都有一個 Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

16. Supsystic 的數據表生成器——關鍵

Supsystic 的 Supsystic Data Tables Generator 的所有版本都存在 Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

17. Supsystic 的數字出版物 – Medium

Supsystic 的所有版本的 Digital Publications 都有一個經過身份驗證的存儲跨站點腳本漏洞。

刪除插件，直到發布安全修復程序。

18. Supsystic 的會員資格 –關鍵

Supsystic 的所有版本的 Membership 都有一個 Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

19. Supsystic 通訊 –關鍵

Supsystic 的所有版本的 Newsletter 都有一個 Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

20. Supsystic 定價表 –關鍵

Supsystic 的所有版本的 Pricing Table 都有一個 Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

21. Supsystic 的 Ultimate Maps –關鍵

所有版本都有一個 Ultimate Maps by Supsystic Authenticated SQL Injection 漏洞。

刪除插件，直到發布安全修復程序。

22. NextGen Gallery –關鍵

NextGen Gallery 3.5.0 以下版本存在 CSRF、文件上傳、存儲型 XSS 和 RCE 漏洞。

該漏洞已修補，您應該更新到版本 3.5.0。

23. 谷歌地圖的地圖塊 – Medium

低於 1.32 版本的 Google Maps 的 Map Block 具有破壞訪問控制漏洞，導致未經授權的 Google API 密鑰更改。

該漏洞已修補，您應該更新到 1.32 版。

WordPress 主題漏洞

1. Wyzi –中

低於 2.4.3 的 Wyzi 版本具有 Reflected Cross-Site Scripting 漏洞。

該漏洞已修補，您應該更新到 2.4.3 版。

2. 多個 Parallelus 主題 – Medium

低於 2.0 的多個 Parallelus 主題版本具有反射跨站點腳本漏洞。

該漏洞已修補，您應該更新到 2.0 版。

二月安全提示：為什麼你應該記錄網站安全活動

安全日誌記錄應該是 WordPress 安全策略的重要組成部分。為什麼？

日誌記錄和監控不足會導致檢測安全漏洞的延遲。大多數違規研究表明，檢測違規的時間超過 200 天！

這段時間允許攻擊者破壞其他系統、修改、竊取或破壞更多數據。因此，“日誌記錄不足”登上了 OWASP Web 應用程序安全風險的前 10 名。

WordPress 安全日誌在您的整體安全策略中有幾個好處，可以幫助您：

識別並阻止惡意行為。
發現可以提醒您違規的活動。
評估造成了多少損害。
幫助修復被黑網站。

如果您的網站確實遭到黑客入侵，您將需要最好的信息來幫助快速調查和恢復。

好消息是 iThemes Security Pro 可以幫助您實現網站日誌記錄。 iThemes Security Pro 的 WordPress 安全日誌會為您跟踪所有這些網站活動：

WordPress 蠻力攻擊
文件更改
惡意軟件掃描
用戶活動

然後，您的日誌中的統計信息會顯示在實時 WordPress 安全儀表板中，您可以從 WordPress 管理儀表板查看。

查看此功能聚焦帖子，我們在其中解壓縮了使用 iThemes Security Pro 將 WordPress 安全日誌添加到您的網站的所有步驟。

看看它怎麼運作

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件，提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等，您可以為您的網站增加一層額外的安全性。

獲取 iThemes 安全專業版

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。他是一個巨大的書呆子，喜歡學習所有新舊技術。你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。