WordPress 漏洞报告：2021 年 12 月，第 5 部分

易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞，以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。 本报告中的新内容：漏洞现在按活动安装数量而不是披露日期排列。

请与您的朋友分享这篇文章，以帮助宣传并让每个人都更安全地使用 WordPress ！

最新版本的 WordPress 核心是 5.8.2。 作为最佳实践，请始终确保运行最新版本的 WordPress 核心！

在本节中，已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、活动安装、已修补的版本号以及严重性等级。

1.联系表格7数据库插件

插件：联系表格 7 数据库插件
漏洞：未经身份验证的存储跨站脚本
活跃安装：400,000+
补丁版本：1.2.6.2
严重性评分：中

插件：联系表格 7 数据库插件
漏洞：通过 CSRF 任意删除表格
活跃安装：400,000+
补丁版本：1.2.6.2
严重性评分：中

2. Mailchimp 的简单表格

插件： Mailchimp 的简单表单
漏洞：反射跨站脚本
活跃安装：100,000+
补丁版本：6.8.6
严重性评分：中

3. Relevanssi——更好的搜索

插件： Relevanssi – 更好的搜索
漏洞：未经身份验证的存储跨站脚本
活跃安装：100,000+
补丁版本：4.14.3
严重性评分：高

4. Sendinblue 的时事通讯、SMTP、电子邮件营销和订阅表格

插件： Sendinblue 的时事通讯、SMTP、电子邮件营销和订阅表格
漏洞：反射跨站脚本
活跃安装: 90,000+
补丁版本：3.1.25
严重性评分：高

5. WooCommerce 的产品 Feed PRO

插件： WooCommerce 的 Product Feed PRO
漏洞：订阅者+设置更新到存储的 XSS
活跃安装：80,000+
补丁版本：11.0.7
严重性评分：高

6. 后网格

插件：后网格
漏洞：贡献者+ SQL注入
活跃安装：60,000+
补丁版本：2.1.13
严重性评分：中

7. 联系表格条目

插件：联系表格条目
漏洞：未经身份验证的存储跨站脚本
活跃安装：40,000+
补丁版本：1.2.4
严重性评分：高

8. 活动门票

插件：活动门票
漏洞：开放重定向
活跃安装：40,000+
补丁版本：5.2.2
严重性评分：中

9. 高级自定义字段：扩展

插件：高级自定义字段：扩展
漏洞：Admin+ SQL 注入
活跃安装：40,000+
补丁版本：0.8.8.7
严重性评分：中

10. 使用 PayPal 接受捐款

插件：使用 PayPal 接受捐款
漏洞：通过 CSRF 的任意帖子删除
活跃安装：30,000+
补丁版本：1.3.4
严重性评分：高

11. ACF 图片库字段

插件： ACF 照片库字段
漏洞：反射跨站脚本
活跃安装：30,000+
补丁版本：1.7.5
严重性评分：中

12.简单的下载监视器

插件：简单的下载监视器
漏洞：多个 CSRF
活跃安装：30,000+
补丁版本：3.9.11
严重性评分：中

13. 保护 WP 管理员

插件：保护 WP 管理员
漏洞：未经身份验证的插件停用
活跃安装：30,000+
补丁版本：3.6.2
严重性评分：中

14. WP Time Capsule 的备份和分期

插件： WP Time Capsule 的备份和暂存
漏洞：反射跨站脚本
活跃安装：20,000+
补丁版本：1.22.7
严重性评分：高

15. 活动日历

插件：活动日历
漏洞：反射跨站脚本
活跃安装：20,000+
补丁版本：1.1.51
严重性评分：高

插件：活动日历
漏洞：订阅者+事件创建
活跃安装：20,000+
补丁版本：1.1.51
严重性评分：中

16. 五星级餐厅预订

插件：五星级餐厅预订
漏洞：订阅者+存储的跨站脚本
活跃安装：20,000+
补丁版本：2.4.8
严重性评分：高

17. 阿斯加罗斯论坛

插件： Asgaros 论坛
漏洞：Admin+ SQL Injection via forum_id
活跃安装：20,000+
补丁版本：1.15.15
严重性评分：中

18. WP125

插件： WP125
漏洞：通过 CSRF 任意删除广告
活跃安装：10,000+
补丁版本：1.5.5
严重性评分：中

19. 会员经理

插件：会员管理器
漏洞：未经身份验证的存储跨站脚本
活跃安装：10,000+
补丁版本：2.9.0
严重性评分：高

20.智能搜索引擎优化工具

插件：智能搜索引擎优化工具
漏洞：反射跨站脚本
活跃安装: 9,000+
补丁版本：3.0.6
严重性评分：中

21. tarteaucitron.js – Cookie 立法和 GDPR

插件： tarteaucitron.js – Cookie 立法和 GDPR
漏洞：CSRF 到存储的跨站点脚本
主动安装：7,000+
补丁版本：1.6
严重性评分：中

插件： tarteaucitron.js – Cookie 立法和 GDPR
漏洞：管理员+存储的跨站点脚本
主动安装：7,000+
补丁版本：1.6.1
严重性评分：低

22. 搜索引擎优化助推器

插件：搜索引擎优化助推器
漏洞：Admin+ SQL 注入
主动安装：4,000+
补丁版本：3.8
严重性评分：中

23. Booking.com 横幅创作者

插件： Booking.com Banner Creator
漏洞：管理员+存储的跨站点脚本
主动安装：3,000+
补丁版本：1.4.3
严重性评分：低

24. 配置文件额外字段

插件：配置文件额外字段
漏洞：反射跨站脚本
主动安装：2,000+
补丁版本：1.2.4
严重性评分：高

25. Booking.com 产品助手

插件： Booking.com 产品助手
漏洞：管理员+存储的跨站点脚本
主动安装：2,000+
补丁版本：1.0.2
严重性评分：低

26. SEUR官方

插件： SEUR 官方
漏洞：管理员+存储的跨站点脚本
主动安装：1,000+
补丁版本：1.7.0
严重性评分：中

27. 电子表格集成

插件：电子表格集成
漏洞：CSRF绕过
主动安装：1,000+
补丁版本：3.6.0
严重性评分：中

插件：电子表格集成
漏洞：反射跨站脚本
主动安装：1,000+
补丁版本：3.6.0
严重性评分：高

28. ClickBank 联盟广告

插件： ClickBank 联盟广告
漏洞：管理员+存储的跨站点脚本
主动安装：700+
补丁版本：1.35
严重性评分：低

插件： ClickBank 联盟广告
漏洞：CSRF 到存储的跨站点脚本
主动安装：700+
补丁版本：1.35
严重性评分：高

29. 斯蒂蒂克

插件： Stetic
漏洞：CSRF 到存储的跨站点脚本
主动安装：300+
补丁版本：1.0.9
严重性评分：高

30. 移动事件管理器

插件：移动事件管理器
漏洞：管理员+存储的跨站点脚本
主动安装：20+
补丁版本：1.4.4
严重性评分：低

在本节中，已在封闭插件中披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、严重等级和关闭日期。

31. 任何评论

插件： AnyComment
漏洞：反射跨站脚本
主动安装：4,000+
已修补版本： 无已知修复
严重性评分：中

在本节中，已在封闭插件中披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、严重等级和关闭日期。

32. 标签

插件：标签
漏洞：未经身份验证的任意选项更新
补丁版本：3.6.0 –插件关闭
严重性评分：严重

33. 简码插件

插件：简码插件
漏洞：未经身份验证的任意选项更新
补丁版本：3.1.0 –插件关闭
严重性评分：严重

从每周的 WordPress 漏洞报告中可以看出，每周都会披露许多新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露，因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。

使用站点扫描获取 iThemes Security Pro

iThemes Security Pro 是我们的 WordPress 安全插件，提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能，您可以为您的网站添加额外的安全层。

到 12 月 31 日，iThemes Security Pro 可享受 35% 的折扣