WordPress 漏洞報告：2021 年 12 月，第 5 部分

易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞，以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。 本報告中的新內容：漏洞現在按活動安裝數量而不是披露日期排列。

請與您的朋友分享這篇文章，以幫助宣傳並讓每個人都更安全地使用 WordPress ！

最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐，請始終確保運行最新版本的 WordPress 核心！

在本節中，已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、活動安裝、已修補的版本號以及嚴重性等級。

1.聯繫表格7數據庫插件

插件：聯繫表格 7 數據庫插件
漏洞：未經身份驗證的存儲跨站腳本
活躍安裝：400,000+
補丁版本：1.2.6.2
嚴重性評分：中

插件：聯繫表格 7 數據庫插件
漏洞：通過 CSRF 任意刪除表格
活躍安裝：400,000+
補丁版本：1.2.6.2
嚴重性評分：中

2. Mailchimp 的簡單表格

插件： Mailchimp 的簡單表單
漏洞：反射跨站腳本
活躍安裝：100,000+
補丁版本：6.8.6
嚴重性評分：中

3. Relevanssi——更好的搜索

插件： Relevanssi – 更好的搜索
漏洞：未經身份驗證的存儲跨站腳本
活躍安裝：100,000+
補丁版本：4.14.3
嚴重性評分：高

4. Sendinblue 的時事通訊、SMTP、電子郵件營銷和訂閱表格

插件： Sendinblue 的時事通訊、SMTP、電子郵件營銷和訂閱表格
漏洞：反射跨站腳本
活躍安裝: 90,000+
補丁版本：3.1.25
嚴重性評分：高

5. WooCommerce 的產品 Feed PRO

插件： WooCommerce 的 Product Feed PRO
漏洞：訂閱者+設置更新到存儲的 XSS
活躍安裝：80,000+
補丁版本：11.0.7
嚴重性評分：高

6. 後網格

插件：後網格
漏洞：貢獻者+ SQL注入
活躍安裝：60,000+
補丁版本：2.1.13
嚴重性評分：中

7. 聯繫表格條目

插件：聯繫表格條目
漏洞：未經身份驗證的存儲跨站腳本
活躍安裝：40,000+
補丁版本：1.2.4
嚴重性評分：高

8. 活動門票

插件：活動門票
漏洞：開放重定向
活躍安裝：40,000+
補丁版本：5.2.2
嚴重性評分：中

9. 高級自定義字段：擴展

插件：高級自定義字段：擴展
漏洞：Admin+ SQL 注入
活躍安裝：40,000+
補丁版本：0.8.8.7
嚴重性評分：中

10. 使用 PayPal 接受捐款

插件：使用 PayPal 接受捐款
漏洞：通過 CSRF 的任意帖子刪除
活躍安裝：30,000+
補丁版本：1.3.4
嚴重性評分：高

11. ACF 圖片庫字段

插件： ACF 照片庫字段
漏洞：反射跨站腳本
活躍安裝：30,000+
補丁版本：1.7.5
嚴重性評分：中

12.簡單的下載監視器

插件：簡單的下載監視器
漏洞：多個 CSRF
活躍安裝：30,000+
補丁版本：3.9.11
嚴重性評分：中

13. 保護 WP 管理員

插件：保護 WP 管理員
漏洞：未經身份驗證的插件停用
活躍安裝：30,000+
補丁版本：3.6.2
嚴重性評分：中

14. WP Time Capsule 的備份和分期

插件： WP Time Capsule 的備份和暫存
漏洞：反射跨站腳本
活躍安裝：20,000+
補丁版本：1.22.7
嚴重性評分：高

15. 活動日曆

插件：活動日曆
漏洞：反射跨站腳本
活躍安裝：20,000+
補丁版本：1.1.51
嚴重性評分：高

插件：活動日曆
漏洞：訂閱者+事件創建
活躍安裝：20,000+
補丁版本：1.1.51
嚴重性評分：中

16. 五星級餐廳預訂

插件：五星級餐廳預訂
漏洞：訂閱者+存儲的跨站腳本
活躍安裝：20,000+
補丁版本：2.4.8
嚴重性評分：高

17. 阿斯加羅斯論壇

插件： Asgaros 論壇
漏洞：Admin+ SQL Injection via forum_id
活躍安裝：20,000+
補丁版本：1.15.15
嚴重性評分：中

18. WP125

插件： WP125
漏洞：通過 CSRF 任意刪除廣告
活躍安裝：10,000+
補丁版本：1.5.5
嚴重性評分：中

19. 會員經理

插件：會員管理器
漏洞：未經身份驗證的存儲跨站腳本
活躍安裝：10,000+
補丁版本：2.9.0
嚴重性評分：高

20.智能搜索引擎優化工具

插件：智能搜索引擎優化工具
漏洞：反射跨站腳本
活躍安裝: 9,000+
補丁版本：3.0.6
嚴重性評分：中

21. tarteaucitron.js – Cookie 立法和 GDPR

插件： tarteaucitron.js – Cookie 立法和 GDPR
漏洞：CSRF 到存儲的跨站點腳本
主動安裝：7,000+
補丁版本：1.6
嚴重性評分：中

插件： tarteaucitron.js – Cookie 立法和 GDPR
漏洞：管理員+存儲的跨站點腳本
主動安裝：7,000+
補丁版本：1.6.1
嚴重性評分：低

22. 搜索引擎優化助推器

插件：搜索引擎優化助推器
漏洞：Admin+ SQL 注入
主動安裝：4,000+
補丁版本：3.8
嚴重性評分：中

23. Booking.com 橫幅創作者

插件： Booking.com Banner Creator
漏洞：管理員+存儲的跨站點腳本
主動安裝：3,000+
補丁版本：1.4.3
嚴重性評分：低

24. 配置文件額外字段

插件：配置文件額外字段
漏洞：反射跨站腳本
主動安裝：2,000+
補丁版本：1.2.4
嚴重性評分：高

25. Booking.com 產品助手

插件： Booking.com 產品助手
漏洞：管理員+存儲的跨站點腳本
主動安裝：2,000+
補丁版本：1.0.2
嚴重性評分：低

26. SEUR官方

插件： SEUR 官方
漏洞：管理員+存儲的跨站點腳本
主動安裝：1,000+
補丁版本：1.7.0
嚴重性評分：中

27. 電子表格集成

插件：電子表格集成
漏洞：CSRF繞過
主動安裝：1,000+
補丁版本：3.6.0
嚴重性評分：中

插件：電子表格集成
漏洞：反射跨站腳本
主動安裝：1,000+
補丁版本：3.6.0
嚴重性評分：高

28. ClickBank 聯盟廣告

插件： ClickBank 聯盟廣告
漏洞：管理員+存儲的跨站點腳本
主動安裝：700+
補丁版本：1.35
嚴重性評分：低

插件： ClickBank 聯盟廣告
漏洞：CSRF 到存儲的跨站點腳本
主動安裝：700+
補丁版本：1.35
嚴重性評分：高

29. 斯蒂蒂克

插件： Stetic
漏洞：CSRF 到存儲的跨站點腳本
主動安裝：300+
補丁版本：1.0.9
嚴重性評分：高

30. 移動事件管理器

插件：移動事件管理器
漏洞：管理員+存儲的跨站點腳本
主動安裝：20+
補丁版本：1.4.4
嚴重性評分：低

在本節中，已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。

31. 任何評論

插件： AnyComment
漏洞：反射跨站腳本
主動安裝：4,000+
已修補版本： 無已知修復
嚴重性評分：中

在本節中，已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。

32. 標籤

插件：標籤
漏洞：未經身份驗證的任意選項更新
補丁版本：3.6.0 –插件關閉
嚴重性評分：嚴重

33. 簡碼插件

插件：簡碼插件
漏洞：未經身份驗證的任意選項更新
補丁版本：3.1.0 –插件關閉
嚴重性評分：嚴重

從每週的 WordPress 漏洞報告中可以看出，每週都會披露許多新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露，因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。

使用站點掃描獲取 iThemes Security Pro

iThemes Security Pro 是我們的 WordPress 安全插件，提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等，您可以為您的網站添加額外的安全層。

到 12 月 31 日，iThemes Security Pro 可享受 35% 的折扣