WordPress 漏洞綜述:2020 年 6 月,第 1 部分

已發表: 2020-08-18

6 月上半月披露了新的 WordPress 插件和主題漏洞,因此我們希望讓您了解。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主題

每個漏洞的威脅等級為嚴重

WordPress 核心漏洞

1. 更新至 WordPress 5.4.2 –關鍵

WordPress 5.4.2 版現已推出。 這是一個重要的安全和維護版本。 早期版本受到多個安全漏洞的影響,這些漏洞在 5.4.2 版本中得到修復。 如果您還沒有更新到 5.4,還有 5.3 及更早版本的更新版本可以修復安全問題。

您可以從 WordPress.org 下載 WordPress 5.4.2,或訪問您的WP 管理儀表板 > 更新並單擊立即更新。 如果您有支持自動後台更新的站點,它們應該已經更新。

漏洞已修復,您應該更新到 WordPress 5.4.2

WordPress 插件漏洞

到目前為止,本月已經發現了幾個新的 WordPress 插件漏洞。 請確保按照以下建議的操作更新插件或完全卸載它。

1. 為聯繫表 7 拖放多個文件上傳 –關鍵

對於低於 1.3.3.3 的 Contact Form 7 版本的拖放多個文件上傳具有未經身份驗證的文件上傳繞過漏洞。

該漏洞已修補,您應該更新到版本 1.3.3.3。

2. 頁面構建器:PageLayer – 拖放式網站構建器 –

頁面構建器:PageLayer – 1.1.2 以下的拖放網站構建器版本具有導致 XSS 的未受保護的 AJAX 和導致 XSS 漏洞的 CSRF。

該漏洞已修補,您應該更新到 1.1.2 版。

3. MapPress 地圖 –關鍵

低於 2.54.6 的 MapPress Maps 版本在 AJAX 調用漏洞中存在不正確的功能檢查。

該漏洞已修補,您應該更新到版本 2.54.6。

4. 圖像照片庫最終瓷磚網格 -關鍵

Image Photo Gallery Final Tiles Grid 版本低於 3.4.19 有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到版本 3.4.19。

5. bbPress –關鍵

啟用新用戶註冊時,2.6.5 以下的 bbPress 版本具有未經身份驗證的權限提升漏洞。

該漏洞已修補,您應該更新到 2.6.5 版。

6. 多調度器 –

Multi Scheduler 的所有版本都有通過 CSRF 漏洞進行的任意記錄刪除。

刪除插件,直到發布安全修復程序。

7. 求職 -

低於 1.5.1 的 JobSearch 版本具有未經身份驗證的反射跨站點腳本漏洞。

該漏洞已修補,您應該更新到 1.5.1 版。

8. AdRotate –

低於 5.8.4 的 AdRotate 版本存在 Authenticated SQL Injection 漏洞。

該漏洞已修補,您應該更新到版本 5.8.4。

9. Elementor Page Builder –

低於 2.9.10 的 Elementor Page Builder 版本有一個 Authenticated Stored XSS 漏洞。

該漏洞已修補,您應該更新到版本 2.9.10。

10. SportsPress –

低於 2.7.2 的 SportsPress 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到版本 2.7.2。

WordPress 主題

1. Careerfy –

低於 3.9.0 的 Careerfy 版本有一個未經身份驗證的反射跨站腳本漏洞。

該漏洞已修補,您應該更新到版本 3.9.0。

2. 報紙 –

低於 10.3.4 的報紙版本有一個 Authenticated Reflected Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到版本 10.3.4。

新的! 使用 iThemes 安全站點掃描保護您的 WordPress 網站。

您是否知道60% 的網站漏洞涉及補丁可用但未應用的漏洞? 這意味著在您的站點上安裝具有已知漏洞的軟件可為黑客提供接管您的站點所需的藍圖。

每一天,跟踪每個公開的 WordPress 漏洞變得越來越難。 您必須將該列表與您在站點上安裝的插件和主題版本進行比較……並確保您不斷更新。

為了解決這個問題,今天我們很高興地宣布 iThemes Security Pro 插件推出了一種更好的方法來保護您的網站免受軟件漏洞的侵害,這是 WordPress 網站被黑客入侵和入侵的罪魁禍首。

由 iThemes 提供支持的新的、改進的 WordPress 安全站點掃描會自動檢查已知的網站漏洞,如果有可用的補丁,iThemes Security Pro 現在會自動為您應用修復程序……所以您不必這樣做。 哇。 這是一些安心。

站點掃描漏洞詳情

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件,提供 30 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

通過 10 個關鍵提示了解有關 WordPress 安全性的更多信息。 立即下載電子書: WordPress 安全指南
現在就下載