WordPress 漏洞报告:2021 年 10 月,第 3 部分
已发表: 2021-10-21易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作为安全和维护版本发布。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1. WPSchoolPress
插件: WPSchoolPress
漏洞:多个管理员+存储的跨站点脚本
补丁版本:2.1.17
严重性评分:低
插件: WPSchoolPress
漏洞:反射跨站脚本
补丁版本:2.1.10
严重性评分:高
插件: WPSchoolPress
漏洞:多个经过身份验证的 SQL 注入
补丁版本:2.1.10
严重性评分:高
2. YITH WooCommerce 多供应商
插件: Squaretype MYITH WooCommerce 多供应商
漏洞:反射跨站脚本
补丁版本:3.8.1
严重性评分:高
3. Print-O-Matic
插件: Print-O-Matic
漏洞:管理员+存储的跨站点脚本
补丁版本:2.0.3
严重性评分:低
4.饼图寄存器
插件:饼图寄存器
漏洞:未经身份验证的 SQL 注入
补丁版本:3.7.1.6
严重性评分:高
插件:饼图寄存器
漏洞:未经身份验证的 SQL 注入
补丁版本:3.7.1.6
严重性评分:严重
5. WooCommerce 的优惠券附属公司
插件: WooCommerce 的优惠券附属公司
漏洞:通过 CSRF 删除任意推荐访问
补丁版本:4.11.3.4
严重性评分:中
6. MAZ 装载机
插件: MAZ 加载器
漏洞:贡献者+ SQL注入
补丁版本:1.3.3
严重性评分:高
7.店面页脚文本
插件:店面页脚文本
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
8. 测验工具精简版
插件:测验工具精简版
漏洞:多个管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
9. 问答卡
插件: Qwizcards
漏洞:管理员+存储的跨站点脚本
补丁版本:3.62
严重性评分:低
10. 本地翻译
插件:本地翻译
漏洞:经过身份验证的 PHP 代码注入
补丁版本:2.5.4
严重性评分:高
11. iPanorama 360 WordPress 虚拟旅游生成器
插件: iPanorama 360 WordPress 虚拟旅游生成器
漏洞:CSRF 到存储的跨站点脚本
补丁版本:1.6.22
严重性评分:高
12. WordPress 视觉互动
插件:用于 WordPress 的 Vision Interactive
漏洞:反射跨站脚本
已修补版本:无已知修复
严重性评分:高
13. WordPress 的 ImageLinks 交互式图像生成器
插件:用于 WordPress 的 ImageLinks 交互式图像生成器
漏洞:反射跨站脚本
已修补版本:无已知修复
严重性评分:高
14. WordPress 简易自定义 Js 和 Css 插件
插件: WordPress 轻松自定义 Js 和 Css 插件
漏洞:反射跨站脚本
已修补版本:无已知修复
严重性评分:高
15. WordPress的iPages动画书
插件:适用于 WordPress 的 iPages Flipbook
漏洞:反射跨站脚本
补丁版本:1.4.3
严重性评分:高
16. 404 至 301
插件: 404 到 301
漏洞:通过 CSRF 删除日志
补丁版本:3.0.9
严重性评分:中
17. 过期后
插件:后过期
漏洞:贡献者+任意帖子时间表
补丁版本:2.6.0
严重性评分:高
18. WP标题图片
插件: WP 标题图片
漏洞:反射跨站脚本
补丁版本:2.0.1
严重性评分:高
19. PayPal 的订阅和会员资格
插件: PayPal 的订阅和会员资格
漏洞:通过页面参数反射的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
20. 使用 PayPal 接受捐款
插件:使用 PayPal 接受捐款
漏洞:通过页面参数反射的跨站点脚本
补丁版本:1.3.1
严重性评分:高
21. 贝宝活动
插件:贝宝事件
漏洞:通过页面参数反射的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:高
22.页眉页脚代码管理器
插件:页眉页脚代码管理器
漏洞:Admin+ SQL 注入
补丁版本:1.1.14
严重性评分:中
23. wpDiscuz
插件: wpDiscuz
漏洞:通过 CSRF 任意添加/编辑/删除评论
补丁版本:7.3.4
严重性评分:中
24. 3D打印精简版
插件: 3D 打印精简版
漏洞:反射跨站脚本
补丁版本:1.9.1.6
严重性评分:高
25. 阿斯加罗斯论坛
插件: Asgaros 论坛
漏洞:通过 CSRF 重定向删除
补丁版本:1.15.13
严重性评分:高
26. WP SEO 重定向 301
插件: WP SEO 重定向 301
漏洞:通过 CSRF 重定向删除
补丁版本:2.3.2
严重性评分:中
27. WCFM——WooCommerce 的前端经理
插件: WCFM – WooCommerce 的前端管理器
漏洞:客户/订阅者+ SQL 注入
补丁版本:6.5.12
严重性评分:高
28. 会员经理
插件:会员经理
漏洞:Admin+ SQL 注入
补丁版本:2.8.7
严重性评分:中
29. 类似的帖子
插件:类似的帖子
漏洞:管理员+任意PHP代码执行
补丁版本:3.1.6
严重性评分:高
30. WooCommerce 产品表
插件: WooCommerce 产品表
漏洞:反射跨站脚本
补丁版本:1.0.4
严重性评分:中
31. 产品折扣经理
插件:产品折扣管理器
漏洞:反射跨站脚本
补丁版本:3.4.5
严重性评分:高
32. 见证生成器
插件:推荐生成器
漏洞:管理员+存储的跨站点脚本
补丁版本:1.6.0
严重性评分:低
33. 轻快
插件: Brizy
漏洞:修改后授权不正确
补丁版本:2.3.12
严重性评分:高
插件: Brizy
漏洞:经过身份验证的存储跨站点脚本
补丁版本:2.3.12
严重性评分:中
插件: Brizy
漏洞:经过身份验证的文件上传和路径遍历
补丁版本:2.3.12
严重性评分:高
34.多彩类别
插件:多彩类别
漏洞:通过 CSRF 进行任意颜色更新
补丁版本:2.0.15
严重性评分:中
35. WP最快的缓存
插件: WP 最快缓存
漏洞:订阅者+ SQL 注入
补丁版本:0.9.5
严重性评分:高
插件: WP 最快缓存
漏洞:CSRF 到存储的跨站点脚本
补丁版本:0.9.5
严重性评分:高
36. 业务经理
插件:业务经理
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复
严重性评分:低
37.工作委员会香草
插件:工作委员会香草
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
38. WpGenius 职位列表
插件: WpGenius 工作清单
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
39. 工作经理
插件:作业管理器
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
40. 工作门户
插件:工作门户
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
41. MyBB 跨海报
插件: MyBB 跨海报
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
42. KJM 管理通知
插件: KJM 管理员通知
漏洞:修改后授权不正确
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
43. 哈尔
插件: HAL
漏洞:管理员+存储的跨站点脚本
补丁版本:2.2
严重性评分:低
44. 作者简介箱
插件:作者生物框
漏洞:管理员+存储的跨站点脚本
补丁版本:3.4.0
严重性评分:低
45. WordPress + 微软 Office 365
插件: WordPress + Microsoft Office 365
漏洞:未经身份验证的存储跨站脚本
补丁版本:15.4
严重性评分:严重
46. YOP民意调查
插件: YOP 民意调查
漏洞:作者+通过选项模块存储的跨站点脚本
补丁版本:6.3.1
严重性评分:中
插件: YOP 民意调查
漏洞:作者+通过预览模块存储的跨站点脚本
补丁版本:6.3.1
严重性评分:中
47. Indeed 工作导入器
插件: Indeed Job Importer
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:高
48. MPL-Publisher – 自行出版您的书籍和电子书
插件: MPL-Publisher – 自行出版您的书籍和电子书
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复
严重性评分:低
49. 工作板WP
插件: JobBoardWP
漏洞:修改后授权不正确
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
WordPress 主题漏洞
1. Squaretype 现代博客
主题: Squaretype 现代博客
漏洞:未经身份验证的私人/计划帖子披露
补丁版本:3.0.4
严重性评分:中
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 每天扫描已知网站漏洞
iThemes Security Pro 插件扫描 WordPress 网站被黑客入侵的第一大原因:过时的插件和具有已知漏洞的主题。
2. 自动更新到安全版本
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3. 监控文件更改
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。