Loading
0

WordPress主题插件相关漏洞汇总(2020年2月下半月)

2月下半月披露了新的WordPress插件和主题漏洞,在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress主题插件相关漏洞汇总(2020年2月下半月)

WordPress漏洞汇总分为3个不同类别:

  1. WordPress核心
  2. WordPress插件
  3. WordPress主题

WordPress核心漏洞

2020年没有任何已公开的WordPress核心漏洞。

WordPress插件漏洞

到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。

1. Ninja Forms

Ninja Form版本3.4.22.1及更低版本具有多个经过身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本3.4.23

2. ThemeGrill Demo Importer

Theme Grill Demo Importer 1.6.1及更低版本具有一个漏洞,该漏洞使未经身份验证的用户可以擦除整个数据库。 该漏洞已修复,您应该更新到版本1.6.2。

3. SAML SP Single Sign On

SAML SP Single Sign On 4.8.83及更低版本容易受到跨站点脚本攻击的攻击。 该漏洞已修复,您应该更新到版本4.8.84。

4. wpCentral

wpCentral 1.5.1和更低版本具有“权限升级控制访问错误” 漏洞。 该漏洞已修复,您应该更新到版本1.5.2。

5. ThemeREX Addons

ThemRex Addons版本1.6.50和更高版本具有一个被远程利用的“远程执行代码”漏洞。 删除插件,直到发布补丁为止。

6. Modula Image Gallery

Modula Image Gallery 2.2.4及更低版本具有已验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.2.5。

7. Duplicator

Duplicator 1.3.26及更低版本具有未经身份验证的任意文件下载漏洞。 该漏洞已修复,您应该更新到版本1.3.28。

8. Chained Quiz

Chained Quiz by Kiboko Labs 1.1.9及更低版本具有一个“身份验证的存储的跨站点脚本”漏洞。 该漏洞已修复,您应该更新到版本1.1.9.1。

9. RegistrationMagic

RegistrationMagic 4.6.0.1及更低版本具有多个“跨站点脚本”漏洞和一个“身份验证的SQL注入”漏洞。 漏洞已修复,您应该更新到4.6.0.3版。

10. Ultimate Membership Pro

Ultimate Membership Pro 8.7 版以下具有跨站点脚本和跨站点请求伪造漏洞。 该漏洞已修复,您应该更新到版本8.7。

11. Photo Gallery by 10Web

Photo Gallery版本1.5.45及更低版本具有多个跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本1.5.46。

12. Envira Photo Gallery

Envira Photo Gallery版本1.7.6和更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.6.2

13. iThemes Sync Pro

iThemes Sync Pro 2.1.3及更低版本在身份验证请求中缺少随机数。 该漏洞已修复,您应该更新到版本2.1.3

WordPress主题

1. Fruitful

Fruitful 主题版本3.8及以下版本容易受到未经身份验证的反映跨站点脚本攻击。 删除主题。已报告该漏洞,但主题开发人员未答复。

如何主动应对WordPress主题和插件漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。