WordPress主題插件相關漏洞匯總(2019年7月)

WordPress 的流行程度非常高,相關的主題和插件資源非常多,安全不容忽視!今天我們來看下7月份出現的一些主題和插件漏洞版本,如果你在用相關的包含漏洞的版本,請務必及時更新到最新版本!

WordPress核心漏洞

本月還沒有發現WordPress核心有新的漏洞,只要確保你在使用的WordPress程序為最新版本即可!

WordPress插件漏洞

今年7月發現了幾個新的WordPress插件漏洞。請務必按照下面建議的操作更新插件或完全卸載它。

1.Yoast SEO

Yoast SEO版本1.2.0-11.5及更低版本容易受到經過身份驗證的存儲XSS攻擊( Authenticated Stored XSS attack )。

2.WooCommerce

WooCommerce版本3.6.4及更低版本容易受到跨站點請求偽造和文件類型檢查的影響。

3.Ad Inserter

Ad Inserter 版本2.4.19及更低版本容易受到經過身份驗證的路徑遍歷( Authenticated Path Traversal )攻擊。

4.Ocean Extra

Ocean Extra插件版本1.5.8及更低版本容易受到未經身份驗證的設置更改和CSS注入攻擊。該漏洞將允許攻擊者更改一些WordPress設置并注入CSS以破壞網站。

5.WP Statistics

WP Statistics插件(版本12.6.6.1及更低版本)容易受到未經身份驗證的盲SQL注入攻擊

6.Visitors Traffic Real Time Statistics

Visitors Traffic Real Time Statistics 插件2.0.5及更低版本容易受到跨站點請求偽造攻擊。

7.Essential Real Estate

Essential Real Estate插件版本1.7.1及更低版本容易受到跨站點腳本攻擊。

8.Appointment Booking Calendar

Appointment Booking Calendar 版本1.3.18及更低版本容易受到未經身份驗證的存儲XSS攻擊。缺少授權檢查可能會導致跨站點腳本攻擊。

9.Gallery PhotoBlocks

Gallery PhotoBlocks版本1.1.40及更低版本容易受到跨站點腳本攻擊。

10.Slimstat Analytics

Slimstat Analytics版本4.8.3及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

11.WP Google Maps

WP Google Maps 版本7.11.34及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

12. LiveChat

LiveChat版本3.7.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

13. Icegram

Icegram 版本1.10.28.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

14. WP Like Button

WP Like Button插件易受身份驗證繞過攻擊。

WordPress.org已關閉WP Like Button插件,因此請刪除該插件并找到替代品。

15. File Manager

File Manager 5.0及更低版本具有多個漏洞。據WebARX報告,如果被利用,漏洞允許任何登錄用戶查看,刪除或下載備份。如果您的網站有開放注冊,這意味著任何人都可以下載您的數據庫副本并查找可能導致進一步妥協的敏感信息。

16. Newsletters

Newsletter Lite 版本4.6.16及更低版本易受經過身份驗證的反射XSS攻擊。

17. One Click SSL

One Click SSL 1.4.6及更低版本有多個漏洞。這些漏洞如果被利用,可能會允許未經授權的設置更改,并允許低權限用戶調用AJAX方法。

18. Ultimate Member

Ultimate Member 版本2.0.51及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

19. FV Flowplayer Video Player

FV Flowplayer Video Player版本7.3.18.727及以下版本易受SQL注入攻擊。

20.All-in-One WP Migration

All-in-One WP Migration 6.97包含管理員后端跨站點腳本漏洞,建議使用該插件的用戶盡快更新到7.0版

21.Coming Soon Page & Maintenance Mode

Coming Soon Page & Maintenance Mode 1.7.8及以下版本,存在未經身份驗證的存儲跨站腳本(XSS)漏洞 ,請更新到最新的插件版本,或者禁用掉該插件!更多說明請看: http://www.wtfvhl.icu/hackers-exploit-recent-wordpress-plugin-bugs-for-malvertising.html

22.OneSignal – Web Push Notifications

OneSignal – Web Push Notifications 版本1.17.5及更低版本容易受到存儲XSS攻擊。

該漏洞尚未修補。建議刪除插件,直到開發人員發布帶補丁的更新。

23.WPS Hide Login

WPS Hide Login 版本1.5.2.2及更低版本有一個錯誤,允許您訪問WordPress登錄頁面。建議升級到 1.5.3 版本!

24.Photo Gallery by 10Web

該插件的version1.5.30及以下版本容易受到SQL注入攻擊。建議升級到 1.5.31 版本以上!

25.Email Subscribers & Newsletters

插件的4.1.7及更低版本有SQL注入漏洞。建議升級到 4.1.8 版本以上!

26.Contact Form & SMTP Plugin for WordPress

版本1.5.1及更低版本容易受到跨站點請求偽造和HTML注入攻擊。建議升級到 1.5.2 版本以上!

27.Everest Forms

Everest Forms 版本1.4.9及更低版本的插件易受SQL注入攻擊。建議升級到 1.5.0 版本以上!

28.Adaptive Images for WordPress

Adaptive Images for WordPress 版本0.6.66及以下容易受到本地文件引入和刪除攻擊。建議升級到 0.6.67 版本以上!

29.AdRotate Banner Manager

AdRotate Banner Manager 插件的5.2及更低版本容易受到Authenticated SQL Injection的攻擊。建議升級到 5.3 版本以上!

30.Contact Form 7 Dynamic Text Extension

Contact Form 7 Dynamic Text Extension 插件版本2.0.2.1及更低版本容易受到跨站點腳本攻擊。建議升級到 2.0.3版本以上!

31.Blog2Social: Social Media Auto Post & Scheduler

Blog2Social: Social Media Auto Post & Scheduler 該插件的5.5.0及更低版本易受SQL注入攻擊。建議升級到 5.6.0 版本以上!

32.Simple Membership

Simple Membership 版本3.8.4及更低版本容易受到跨站點請求偽造攻擊。建議升級到 3.8.5 版本以上!

33. Advanced Contact form 7 DB

Advanced Contact form 7 DB 插件的1.6.1及更低版本易受SQL注入攻擊。建議升級到 1.7.1 版本以上!

34.Coming Soon Page & Maintenance Mode

Coming Soon Page & Maintenance Mode 版本1.8.0及更低版本容易受到未經身份驗證的存儲XSS攻擊。建議升級到 1.8.2 版本以上!

35.WordPress Ultra Simple Paypal Shopping Cart

WordPress Ultra Simple Paypal Shopping Cart 版本4.4及更低版本容易受到跨站點請求偽造和文件類型檢查的影響。建議升級到 4.5 版本以上!

36.Category Specific RSS feed Subscription

Category Specific RSS feed Subscription 版本2.0及更低版本容易受到跨站點請求偽造攻擊。建議升級到 2.1 版本以上!

37.Appointment Hour Booking

Appointment Hour Booking 版本1.1.45及更低版本容易受到跨站點腳本攻擊。建議升級到 1.1.46 版本以上!

38.ND Shortcodes For Visual Composer

ND Shortcodes For Visual Composer 版本 5.8 及以下版本容易受到 未經身份驗證的WP選項更新的影響。建議升級到 5.9.1 版本以上!

WordPress主題漏洞

1.Zoner - Real Estate WordPress Theme

Zoner - Real Estate WordPress Theme 版本4.1及以下版本易受反射XSS和存儲XSS攻擊。

WordPress漏洞修復建議

請朋友們自己檢查下自己是否在使用有安全漏洞的插件版本,然后到官方去查看下是否有更新的版本提供,如果有,請升級到最新的版本,如果沒有,請卸載有漏洞的插件,并找到其他安全的替代品!

倡萌

一個文科IT宅男,喜歡折騰WordPress和被它折騰 ^_^

暫無評論

發表評論