WordPress 漏洞報告:2021 年 10 月,第 3 部分
已發表: 2021-10-21易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作為安全和維護版本發布。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. WPSchoolPress
插件: WPSchoolPress
漏洞:多個管理員+存儲的跨站點腳本
補丁版本:2.1.17
嚴重性評分:低
插件: WPSchoolPress
漏洞:反射跨站腳本
補丁版本:2.1.10
嚴重性評分:高
插件: WPSchoolPress
漏洞:多個經過身份驗證的 SQL 注入
補丁版本:2.1.10
嚴重性評分:高
2. YITH WooCommerce 多供應商
插件: Squaretype MYITH WooCommerce 多供應商
漏洞:反射跨站腳本
補丁版本:3.8.1
嚴重性評分:高
3. Print-O-Matic
插件: Print-O-Matic
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.0.3
嚴重性評分:低
4.餅圖寄存器
插件:餅圖寄存器
漏洞:未經身份驗證的 SQL 注入
補丁版本:3.7.1.6
嚴重性評分:高
插件:餅圖寄存器
漏洞:未經身份驗證的 SQL 注入
補丁版本:3.7.1.6
嚴重性評分:嚴重
5. WooCommerce 的優惠券附屬公司
插件: WooCommerce 的優惠券附屬公司
漏洞:通過 CSRF 刪除任意推薦訪問
補丁版本:4.11.3.4
嚴重性評分:中
6. MAZ 裝載機
插件: MAZ 加載器
漏洞:貢獻者+ SQL注入
補丁版本:1.3.3
嚴重性評分:高
7.店面頁腳文本
插件:店面頁腳文本
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
8. 測驗工具精簡版
插件:測驗工具精簡版
漏洞:多個管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
9. 問答卡
插件: Qwizcards
漏洞:管理員+存儲的跨站點腳本
補丁版本:3.62
嚴重性評分:低
10. 本地翻譯
插件:本地翻譯
漏洞:經過身份驗證的 PHP 代碼注入
補丁版本:2.5.4
嚴重性評分:高
11. iPanorama 360 WordPress 虛擬旅游生成器
插件: iPanorama 360 WordPress 虛擬旅游生成器
漏洞:CSRF 到存儲的跨站點腳本
補丁版本:1.6.22
嚴重性評分:高
12. WordPress 視覺互動
插件:用於 WordPress 的 Vision Interactive
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
13. WordPress 的 ImageLinks 交互式圖像生成器
插件:用於 WordPress 的 ImageLinks 交互式圖像生成器
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
14. WordPress 簡易自定義 Js 和 Css 插件
插件: WordPress 輕鬆自定義 Js 和 Css 插件
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分:高
15. WordPress的iPages動畫書
插件:適用於 WordPress 的 iPages Flipbook
漏洞:反射跨站腳本
補丁版本:1.4.3
嚴重性評分:高
16. 404 至 301
插件: 404 到 301
漏洞:通過 CSRF 刪除日誌
補丁版本:3.0.9
嚴重性評分:中
17. 過期後
插件:後過期
漏洞:貢獻者+任意帖子時間表
補丁版本:2.6.0
嚴重性評分:高
18. WP標題圖片
插件: WP 標題圖片
漏洞:反射跨站腳本
補丁版本:2.0.1
嚴重性評分:高
19. PayPal 的訂閱和會員資格
插件: PayPal 的訂閱和會員資格
漏洞:通過頁面參數反射的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
20. 使用 PayPal 接受捐款
插件:使用 PayPal 接受捐款
漏洞:通過頁面參數反射的跨站點腳本
補丁版本:1.3.1
嚴重性評分:高
21. 貝寶活動
插件:貝寶事件
漏洞:通過頁面參數反射的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:高
22.頁眉頁腳代碼管理器
插件:頁眉頁腳代碼管理器
漏洞:Admin+ SQL 注入
補丁版本:1.1.14
嚴重性評分:中
23. wpDiscuz
插件: wpDiscuz
漏洞:通過 CSRF 任意添加/編輯/刪除評論
補丁版本:7.3.4
嚴重性評分:中
24. 3D打印精簡版
插件: 3D 打印精簡版
漏洞:反射跨站腳本
補丁版本:1.9.1.6
嚴重性評分:高
25. 阿斯加羅斯論壇
插件: Asgaros 論壇
漏洞:通過 CSRF 重定向刪除
補丁版本:1.15.13
嚴重性評分:高
26. WP SEO 重定向 301
插件: WP SEO 重定向 301
漏洞:通過 CSRF 重定向刪除
補丁版本:2.3.2
嚴重性評分:中
27. WCFM——WooCommerce 的前端經理
插件: WCFM – WooCommerce 的前端管理器
漏洞:客戶/訂閱者+ SQL 注入
補丁版本:6.5.12
嚴重性評分:高
28. 會員經理
插件:會員經理
漏洞:Admin+ SQL 注入
補丁版本:2.8.7
嚴重性評分:中
29. 類似的帖子
插件:類似的帖子
漏洞:管理員+任意PHP代碼執行
補丁版本:3.1.6
嚴重性評分:高
30. WooCommerce 產品表
插件: WooCommerce 產品表
漏洞:反射跨站腳本
補丁版本:1.0.4
嚴重性評分:中
31. 產品折扣經理
插件:產品折扣管理器
漏洞:反射跨站腳本
補丁版本:3.4.5
嚴重性評分:高
32. 見證生成器
插件:推薦生成器
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.6.0
嚴重性評分:低
33. 輕快
插件: Brizy
漏洞:修改後授權不正確
補丁版本:2.3.12
嚴重性評分:高
插件: Brizy
漏洞:經過身份驗證的存儲跨站點腳本
補丁版本:2.3.12
嚴重性評分:中
插件: Brizy
漏洞:經過身份驗證的文件上傳和路徑遍歷
補丁版本:2.3.12
嚴重性評分:高
34.多彩類別
插件:多彩類別
漏洞:通過 CSRF 進行任意顏色更新
補丁版本:2.0.15
嚴重性評分:中
35. WP最快的緩存
插件: WP 最快緩存
漏洞:訂閱者+ SQL 注入
補丁版本:0.9.5
嚴重性評分:高
插件: WP 最快緩存
漏洞:CSRF 到存儲的跨站點腳本
補丁版本:0.9.5
嚴重性評分:高
36. 業務經理
插件:業務經理
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復
嚴重性評分:低
37.工作委員會香草
插件:工作委員會香草
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
38. WpGenius 職位列表
插件: WpGenius 工作清單
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
39. 工作經理
插件:作業管理器
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
40. 工作門戶
插件:工作門戶
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
41. MyBB 跨海報
插件: MyBB 跨海報
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
42. KJM 管理通知
插件: KJM 管理員通知
漏洞:修改後授權不正確
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
43. 哈爾
插件: HAL
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.2
嚴重性評分:低
44. 作者簡介箱
插件:作者生物框
漏洞:管理員+存儲的跨站點腳本
補丁版本:3.4.0
嚴重性評分:低
45. WordPress + 微軟 Office 365
插件: WordPress + Microsoft Office 365
漏洞:未經身份驗證的存儲跨站腳本
補丁版本:15.4
嚴重性評分:嚴重
46. YOP民意調查
插件: YOP 民意調查
漏洞:作者+通過選項模塊存儲的跨站點腳本
補丁版本:6.3.1
嚴重性評分:中
插件: YOP 民意調查
漏洞:作者+通過預覽模塊存儲的跨站點腳本
補丁版本:6.3.1
嚴重性評分:中
47. Indeed 工作導入器
插件: Indeed Job Importer
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:高
48. MPL-Publisher – 自行出版您的書籍和電子書
插件: MPL-Publisher – 自行出版您的書籍和電子書
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復
嚴重性評分:低
49. 工作板WP
插件: JobBoardWP
漏洞:修改後授權不正確
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
WordPress 主題漏洞
1. Squaretype 現代博客
主題: Squaretype 現代博客
漏洞:未經身份驗證的私人/計劃帖子披露
補丁版本:3.0.4
嚴重性評分:中
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 每天掃描已知網站漏洞
iThemes Security Pro 插件掃描 WordPress 網站被黑客入侵的第一大原因:過時的插件和具有已知漏洞的主題。
2. 自動更新到安全版本
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。