WordPress 漏洞報告:2021 年 12 月,第 2 部分
已發表: 2021-12-15易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 新聞:Gravatar 數據洩露
本週,針對獨特頭像的全球服務 Gravatar 遭到破壞——儘管 Gravatar 保證沒有黑客入侵。
數據被抓取,這不是違規行為,因為密碼和其他私人信息沒有被竊取。 相反,公開信息的收集方式通常不容易獲得。 理論上,有人必須知道 Gravatar 用戶的用戶名才能訪問該用戶的電子郵件地址。 抓取允許攻擊者同時下載用戶名和電子郵件。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. 活動經理
插件:事件管理器
漏洞:Admin+ SQL 注入
補丁版本:5.9.8
嚴重性評分:中
插件:事件管理器
漏洞:跨站腳本(XSS)
補丁版本:5.9.8
嚴重性評分:低
2. 海星的豐富評論
插件:海星的豐富評論
漏洞:Admin+ SQL 注入
補丁版本:1.9.6
嚴重性評分:中
3.打字機
插件:打字機
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.4.3
嚴重性評分:低
4. 聯繫表格和潛在客戶表格 Elementor Builder
插件:聯繫表格和潛在客戶表格 Elementor Builder
漏洞:未經身份驗證的存儲跨站腳本
補丁版本:1.6.4
嚴重性評分:高
5.下載管理器
插件:下載管理器
漏洞:訂閱者+存儲的跨站腳本
補丁版本:3.2.22
嚴重性評分:高
6. WP RSS 聚合器
插件:訂閱者+存儲的跨站腳本
漏洞:Admin+ SQL 注入
補丁版本:4.19.3
嚴重性評分:高
7. Buttonizer - 智能浮動操作按鈕
插件: Buttonizer - 智能浮動操作按鈕
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.5.5
嚴重性評分:低
8. WP 郵件記錄
插件: WP 郵件日誌
漏洞:過時的 Redux 框架
補丁版本:1.10.0
嚴重性評分:中
9. 斯蒂蒂克
插件: Stetic
漏洞:CSRF 到存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
10. 帶有驗證碼的聯繫表
插件:帶有驗證碼的聯繫表
漏洞:CSRF 到存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
11. 很棒的支持
插件:很棒的支持
漏洞:反射跨站腳本
補丁版本:6.0.7
嚴重性評分:高
12. Asgaros 論壇
插件: Asgaros 論壇
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.15.14
嚴重性評分:低
13. LiteSpeed 緩存
插件: LiteSpeed 緩存
漏洞:IP Check Bypass to Unauthenticated Stored XSS
補丁版本:4.4.4
嚴重性評分:高
插件: LiteSpeed 緩存
漏洞:管理員+反射跨站腳本
補丁版本:4.4.4
嚴重性評分:高
14. 帶縮放的視頻會議
插件:帶縮放的視頻會議
漏洞:反射跨站腳本
補丁版本:3.8.16
嚴重性評分:高
15. Woocommerce 的助推器
插件: Woocommerce 的助推器
漏洞:PDF 發票模塊中的反射跨站點腳本
補丁版本:5.4.9
嚴重性評分:高
插件: Woocommerce 的助推器
漏洞:通用模塊中的反射跨站點腳本
補丁版本:5.4.9
嚴重性評分:高
插件: Woocommerce 的助推器
漏洞:產品 XML 源模塊中的反射跨站點腳本
補丁版本:5.4.9
嚴重性評分:高
16.速度助推器包
插件:速度助推器包
漏洞:Admin+ SQL 注入
補丁版本:4.3.3.1
嚴重性評分:中
17. OMGF
插件: OMGF
漏洞:管理員+通過路徑遍歷刪除任意文件夾
補丁版本:4.5.12
嚴重性評分:中
18. CAOS
插件: CAOS
漏洞:管理員+通過路徑遍歷刪除任意文件夾
補丁版本:4.1.9
嚴重性評分:中
19. WP旅遊引擎
插件: WP 旅行引擎
漏洞:編輯器+存儲的跨站腳本
補丁版本:5.3.1
嚴重性評分:低
20.下載監視器
插件:下載監視器
漏洞:Admin+ SQL 注入
補丁版本:4.4.5
嚴重性評分:中
21. 按揭計算器/貸款計算器
插件:抵押計算器/貸款計算器
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:1.5.17
嚴重性評分:中
22. WooCommerce 的變體樣本
插件: WooCommerce 的變體樣本
漏洞:訂閱者+存儲的跨站腳本
補丁版本:2.1.2
嚴重性評分:高
23. ClickBank 聯盟廣告
插件: ClickBank 聯盟廣告
漏洞:CSRF 到存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
插件: ClickBank 聯盟廣告
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
24. 高級自定義字段
插件:高級自定義字段
漏洞:訂閱者+任意 ACF 數據/字段組視圖和字段移動
補丁版本:5.11
嚴重性評分:中
25. 唱法
插件: Canto
漏洞:未經身份驗證的盲 SSRF
已修補版本:無已知修復
嚴重性評分:中
26.多合一畫廊
插件:多合一畫廊
漏洞:管理員+本地文件包含
補丁版本:2.5.0
嚴重性評分:低
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3.激活文件更改檢測
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站安全監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。
