WordPress 漏洞報告:2021 年 10 月,第 4 部分
已發表: 2021-10-27易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作為安全和維護版本發布。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. 共享文件
插件:共享文件
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.6.61
嚴重性評分:低
2. 二維碼重定向器
插件: QR 重定向器
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:1.6.1
嚴重性評分:中
插件: QR 重定向器
漏洞:訂閱者+任意 QR 重定向響應狀態更新
補丁版本:1.6
嚴重性評分:中
3. MouseWheel 平滑滾動
插件: MouseWheel 平滑滾動
漏洞:通過 CSRF 的插件設置更新
補丁版本:5.7
嚴重性評分:中
4. 插入頁面
插件:插入頁面
漏洞:貢獻者+任意帖子/頁面訪問
補丁版本:3.7.0
嚴重性評分:中
插件:插入頁面
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:3.7.0
嚴重性評分:中
5. SEO重定向
插件: SEO重定向
漏洞:訂閱者+ SQL 注入
補丁版本:8.2
嚴重性評分:高
6. 貝寶捐贈
插件:貝寶捐贈
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.3.2
嚴重性評分:低
7. 為 IDX 經紀商留下深刻印象
插件: IDX Broker 的 IMpress
漏洞:反射跨站腳本
補丁版本:3.0.6
嚴重性評分:高
8.簡單的JWT登錄
插件:簡單的 JWT 登錄
漏洞:通過 CSRF 對站點接管的任意設置更新
補丁版本:3.2.1
嚴重性評分:高
9. 我的門票
插件:我的門票
漏洞:訂閱者+ SQL 注入
補丁版本:1.8.31
嚴重性評分:高
10. 通過 Sprout Invoices 為客戶開具發票
插件:通過 Sprout Invoices 為客戶開具發票
漏洞:管理員+存儲的跨站點腳本
補丁版本:19.9.7
嚴重性評分:低
11. 電子郵件日誌
插件:電子郵件日誌
漏洞:Admin+ SQL 注入
補丁版本:2.4.7
嚴重性評分:中
12. WP 性能得分助推器
插件WP 性能得分助推器
漏洞:通過 CSRF 更改設置
補丁版本:2.1
嚴重性評分:中
13. Active Directory 集成/LDAP 集成
插件: Active Directory 集成/LDAP 集成
漏洞:訂閱者+ SQL 注入
補丁版本:3.6.95
嚴重性評分:高
14. 上桌
插件: TableOn
漏洞:反射跨站腳本
補丁版本:1.0.1
嚴重性評分:中
15. 響應式圖像滑塊、照片庫和輪播
插件:響應式圖像滑塊、照片庫和輪播
漏洞:通過 CSRF 進行滑塊克隆/保存/刪除
補丁版本:1.3.2
嚴重性評分:中
插件:響應式圖像滑塊、照片庫和輪播
漏洞:訂閱者+任意帖子訪問
補丁版本:1.3.6
嚴重性評分:中
16. WP站點地圖頁面
插件: WP 站點地圖頁面
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.7.0
嚴重性評分:低
17.流
插件:流
漏洞:Admin+ SQL 注入
補丁版本:3.8.2
嚴重性評分:中
18. 有幫助
插件:有幫助
漏洞:管理員+存儲的跨站點腳本
補丁版本:4.4.59
嚴重性評分:低
19. 學習出版社
插件: LearnPress
漏洞:管理員+存儲的跨站點腳本
補丁版本:4.1.3.2
嚴重性評分:低
20. 內容分期
插件:內容暫存
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
21. 洩漏的付費牆
插件:洩漏的付費牆
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復
嚴重性評分:低
22. 導師 LMS
插件: Tutor LMS
漏洞:反射跨站腳本
補丁版本:1.9.11
嚴重性評分:中
23. 帶有光滑滑塊的徽標展示櫃
插件:帶有 Slick Slider 的徽標展示櫃
漏洞:作者+存儲的跨站點腳本
補丁版本:1.2.4
嚴重性評分:中
24.強大的表單生成器
插件:強大的表單生成器
漏洞:未經身份驗證的存儲跨站腳本
補丁版本:4.09.05
嚴重性評分:低
25. 下載插件
插件:下載插件
漏洞:訂閱者+任意插件激活
補丁版本:1.6.1
嚴重性評分:中
26. 圖像到 WebP
插件:圖像到 WebP
漏洞:多個跨站請求偽造(CSRF)
補丁版本:1.9
嚴重性評分:中
插件:圖像到 WebP
漏洞:經過身份驗證的本地文件包含
補丁版本:1.9
嚴重性評分:低
27. MStore API
插件: MStore API
漏洞:未經身份驗證的 PHP 文件上傳
補丁版本:3.4.5
嚴重性評分:嚴重
28. 簡單的數字下載
插件:輕鬆數字下載
漏洞:反射跨站腳本
補丁版本:2.11.2.1
嚴重性評分:高
29. 高級訪問管理器
插件:高級訪問管理器
漏洞:管理員+存儲的跨站點腳本
補丁版本:6.8.0
嚴重性評分:低
30. YOP 民意調查
插件: YOP 民意調查
漏洞:反射跨站腳本
補丁版本:6.1.2
嚴重性評分:中
31. WP附件導出
插件: WP 附件導出
漏洞:未經身份驗證的帖子下載
補丁版本:0.2.4
嚴重性評分:高
32.帖子上的內容文本滑塊
插件:帖子上的內容文本滑塊
漏洞:經過身份驗證的存儲跨站腳本 (XSS)
補丁版本:6.9
嚴重性評分:中
33. 冰格
插件: Icegram
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.0.3
嚴重性評分:低
34. 更好的鏈接
插件: BetterLinks
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.2.6
嚴重性評分:低
35.LearnDash
插件: LearnDash
漏洞:未經身份驗證的任意文件上傳
補丁版本:2.5.4
嚴重性評分:嚴重
36. 形像老板
插件: ImageBoss
漏洞:管理員+存儲的跨站點腳本
補丁版本:3.0.6
嚴重性評分:低
37. 成型機
插件:形成者
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.2.4
嚴重性評分:低
38. MPL-出版商
插件: MPL-Publisher
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.30.4
嚴重性評分:低
39.元素
插件:元素
漏洞:DOM 跨站腳本
補丁版本:3.1.4
嚴重性評分:中
40. 時髦的社交分享
插件:時髦的社交分享
漏洞:缺少對 PHP 對象注入的訪問控制
補丁版本:3.3.24
嚴重性評分:中
41. 餅圖寄存器
插件:餅圖寄存器
漏洞:開放重定向
補丁版本:3.7.2.4
嚴重性評分:中
42. 高級表格
插件:高級表單
漏洞:通過 IDOR 更新訂閱者+任意用戶電子郵件地址
補丁版本:1.6.9
嚴重性評分:高
插件:高級表單專業版
漏洞:通過 IDOR 更新訂閱者+任意用戶電子郵件地址
補丁版本:1.6.9
嚴重性評分:高
43. Catch 主題演示導入
插件: Catch Themes Demo Import
漏洞:Admin+任意文件上傳
補丁版本:1.8
嚴重性評分:嚴重
44.簡單的工作板
插件:簡單的工作板
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.9.5
嚴重性評分:低
45. 象牙搜索
插件:象牙搜索
漏洞:反射跨站腳本
補丁版本:4.7
嚴重性評分:高
46. 年齡之門
插件:年齡之門
漏洞:經過身份驗證的存儲跨站點腳本
補丁版本:2.16.4
嚴重性評分:嚴重
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1.掃描已知的網站漏洞
iThemes Security Pro 插件掃描 WordPress 網站被黑客入侵的第一大原因:過時的插件和具有已知漏洞的主題。
2. 自動更新到安全版本
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。