WordPress 漏洞報告:2022 年 1 月,第 2 部分
已發表: 2022-01-12易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。 本報告中的新內容:漏洞現在按活動安裝數量而不是披露日期排列。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress !
WordPress 核心漏洞
最新版本的 WordPress 核心於 2022 年 1 月 6 日作為短週期安全版本發布。 由於 WordPress 5.8.3 是一個安全版本,我們建議您立即更新所有站點。
您可以通過從 WordPress.org 下載或訪問您的 WordPress 管理儀表板 > 更新並單擊立即更新來更新到 WordPress 5.8.3。
如果您的網站啟用了自動後台更新,它們應該已經成功更新。
WordPress 核心
漏洞:通過 WP_Query 的 SQL 注入
補丁版本:5.8.3
說明:由於 WP_Meta_Query 中缺乏適當的清理,可能存在盲 SQL 注入。
漏洞:作者+通過 Post Slugs 存儲的 XSS
補丁版本:5.8.3
說明: WordPress 核心中的低權限認證用戶(如作者)能夠通過 post slugs 執行 JavaScript/執行存儲的 XSS 攻擊,這可能會影響高權限用戶。
漏洞:多站點中的超級管理員對象注入
補丁版本:5.8.3
說明:在多站點上,具有超級管理員角色的用戶可以在某些條件下通過對象注入繞過顯式/附加強化。
漏洞:通過 WP_Meta_Query 注入 SQL
補丁版本:5.8.3
說明:由於 WP_Meta_Query 中缺乏適當的清理,可能存在盲 SQL 注入。
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、活動安裝、已修補的版本號以及嚴重性等級。
1. SVG 支持
插件: SVG 支持
漏洞:管理員+存儲的跨站點腳本
活躍安裝:800,000+
補丁版本:2.3.20
嚴重性評分:低
2. 資產清理
插件:資產清理
漏洞:通過 AJAX 操作反射的跨站點腳本
活躍安裝:100,000+
補丁版本:1.3.8.5
嚴重性評分:高
插件:資產清理
漏洞:反射跨站腳本
活躍安裝:100,000+
補丁版本:1.3.8.5
嚴重性評分:中
3. 付費會員專業版
插件:付費會員專業版
漏洞:未經身份驗證的盲 SQL 注入
活躍安裝:100,000+
補丁版本:2.6.7
嚴重性評分:嚴重
4. NextScripts:社交網絡自動海報
插件: NextScripts:社交網絡自動海報
漏洞:通過 CSRF 的任意帖子刪除
活躍安裝: 90,000+
補丁版本:4.3.25
嚴重性評分:中
插件: NextScripts:社交網絡自動海報
漏洞:未經身份驗證的存儲型 XSS
活躍安裝: 90,000+
補丁版本:4.3.25
嚴重性評分:高
5. 象牙搜索
插件:象牙搜索
漏洞:貢獻者+存儲的跨站點腳本
活躍安裝:80,000+
補丁版本:5.4.1
嚴重性評分:高
6.簡單的社交飼料
插件:簡單的社交飼料
漏洞:反射跨站腳本(XSS)
活躍安裝:70,000+
補丁版本:6.2.7
嚴重性評分:高
7. 視覺 CSS 樣式編輯器
插件:視覺 CSS 樣式編輯器
漏洞:反射跨站腳本
活躍安裝:50,000+
補丁版本:7.5.4
嚴重性評分:高
8. 聯繫表格條目
插件:聯繫表格條目
漏洞:未經身份驗證的存儲跨站腳本
活躍安裝:40,000+
補丁版本:1.1.7
嚴重性評分:高
9. 高級 Cron 管理器
插件:高級 Cron 管理器
漏洞:訂閱者+任意事件/時間表創建/刪除
活躍安裝:30,000+
補丁版本:2.4.2
嚴重性評分:中
10. WPLegalPages
插件: WPLegalPages
漏洞:訂閱者+任意設置更新到存儲的 XSS
活躍安裝:20,000+
補丁版本:2.7.1
嚴重性評分:中
11. WP訪客統計(實時流量)
插件: WP 訪客統計(實時流量)
漏洞:訂閱者+ SQL 注入
活躍安裝:20,000+
補丁版本:4.8
嚴重性評分:高
12. 邪惡的文件夾
插件:邪惡文件夾
漏洞:訂閱者+ SQL 注入
活躍安裝:10,000+
補丁版本:2.8.10
嚴重性評分:高
13.支持糖果
插件:支持糖果
漏洞:貢獻者+存儲的跨站點腳本
活躍安裝:10,000+
補丁版本:2.2.7
嚴重性評分:中
插件:支持糖果
漏洞:CSRF 到跨站腳本
活躍安裝:10,000+
補丁版本:2.2.7
嚴重性評分:中
插件:支持糖果
漏洞:通過 CSRF 任意刪除票證
活躍安裝:10,000+
補丁版本:2.2.7
嚴重性評分:高
插件:支持糖果
漏洞:未經身份驗證的任意票證刪除
活躍安裝:10,000+
補丁版本:2.2.7
嚴重性評分:高
插件:支持糖果
漏洞:反射跨站腳本
活躍安裝:10,000+
補丁版本:2.2.7
嚴重性評分:中
14. 重新排列 Woocommerce 產品
插件:重新排列 Woocommerce 產品
漏洞:訂閱者+ SQL 注入
活躍安裝:10,000+
補丁版本:3.0.8
嚴重性評分:高
15. IP2Location 國家攔截器
插件: IP2Location Country Blocker
漏洞:通過 CSRF 的任意國家禁令
活躍安裝:10,000+
補丁版本:2.26.6
嚴重性評分:中
插件: IP2Location Country Blocker
漏洞:訂閱者+任意國家禁令
活躍安裝:10,000+
補丁版本:2.26.6
嚴重性評分:中
插件: IP2Location Country Blocker
漏洞:禁止繞過
活躍安裝:10,000+
補丁版本:2.26.6
嚴重性評分:中
16. 很棒的支持 – WordPress HelpDesk & Support Plugin
插件:很棒的支持 – Titan 框架
漏洞:反射跨站腳本(XSS)
活躍安裝:10,000+
補丁版本:6.0.11
嚴重性評分:高
17. 終極產品目錄
插件:終極產品目錄
漏洞:訂閱者+任意產品創建和設置更新
活躍安裝:10,000
補丁版本:5.0.26
嚴重性評分:中
18. 文檔嵌入器
插件:文檔嵌入器
漏洞:訂閱者+任意私人/草稿帖子標題披露
活躍安裝: 9,000+
補丁版本:1.7.9
嚴重性評分:中
插件:文檔嵌入器
漏洞:未經身份驗證的任意私人/草稿帖子標題披露
活躍安裝: 9,000+
補丁版本:1.7.9
嚴重性評分:中
19. RVM——響應向量圖
插件: RVM - 響應向量圖
漏洞:訂閱者+任意文件讀取
活躍安裝: 6,000+
補丁版本:6.4.2
嚴重性評分:高
20. 媒體
插件: Mediamatic
漏洞:訂閱者+ SQL 注入
主動安裝:3,000+
補丁版本:2.8.1
嚴重性評分:高
21. 烏普拉
插件: Woopra
漏洞:未經身份驗證的任意文件上傳
主動安裝:2,000+
補丁版本:1.4.3.2
嚴重性評分:嚴重
22. 用戶權限訪問管理器
插件:用戶權限訪問管理器
漏洞:訪問限制繞過
主動安裝:900+
補丁版本:1.0.8
嚴重性評分:中
23. YuMoney按鈕
插件: YuMoney 按鈕 – Titan 框架
漏洞:反射跨站腳本(XSS)
主動安裝:900+
補丁版本:2.4.0
嚴重性評分:高
24. 與 WooCommerce 的 TrustMate.io 集成
插件: WooCommerce 的 TrustMate.io 集成
漏洞:訂閱者+任意插件的設置更新
主動安裝:300+
補丁版本:1.8.12
嚴重性評分:高
插件: WooCommerce 的 TrustMate.io 集成
漏洞:訂閱者+任意博客選項更新
主動安裝:300+
補丁版本:1.7.1
嚴重性評分:高
25. 真正的排名者
插件:真正的排名
漏洞:通過路徑遍歷進行未經身份驗證的任意文件訪問
主動安裝:300+
補丁版本:2.2.4
嚴重性評分:高
26. WordPress的WebHotelier
插件:用於 WordPress 的 WebHotelier – Titan 框架
漏洞:反射跨站腳本(XSS)
主動安裝:200+
補丁版本:1.6.1
嚴重性評分:高
高級插件漏洞
在本節中,已經披露了最新的 WordPress 高級插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
27. 高級 Cron Manager Pro
插件:高級 Cron Manager Pro
漏洞:訂閱者+任意事件/時間表創建/刪除
補丁版本:2.5.3
嚴重性評分:中
WordPress 插件漏洞:未知修復
在本節中,已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。
28.聯繫表格7皮膚
插件:聯繫表格 7 皮膚
漏洞:反射跨站腳本(XSS)
活躍安裝:30,000+
已修補版本:無已知修復
嚴重性評分:中
29. WooRockets Nitro
插件: WooRockets Nitro
漏洞:未經身份驗證的任意插件安裝
已修補版本:無已知修復
嚴重性評分:嚴重
30. 亞馬遜會員
插件:亞馬遜會員
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:中
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3.激活文件更改檢測
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站安全監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。
