2月下半月披露了新的WordPress插件和主题漏洞,在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
WordPress漏洞汇总分为3个不同类别:
- WordPress核心
- WordPress插件
- WordPress主题
WordPress核心漏洞
2020年没有任何已公开的WordPress核心漏洞。
WordPress插件漏洞
到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。
1. Ninja Forms
Ninja Form版本3.4.22.1及更低版本具有多个经过身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本3.4.23。
2. ThemeGrill Demo Importer
Theme Grill Demo Importer 1.6.1及更低版本具有一个漏洞,该漏洞使未经身份验证的用户可以擦除整个数据库。 该漏洞已修复,您应该更新到版本1.6.2。
3. SAML SP Single Sign On
SAML SP Single Sign On 4.8.83及更低版本容易受到跨站点脚本攻击的攻击。 该漏洞已修复,您应该更新到版本4.8.84。
4. wpCentral
wpCentral 1.5.1和更低版本具有“权限升级控制访问错误” 漏洞。 该漏洞已修复,您应该更新到版本1.5.2。
5. ThemeREX Addons
ThemRex Addons版本1.6.50和更高版本具有一个被远程利用的“远程执行代码”漏洞。 删除插件,直到发布补丁为止。
6. Modula Image Gallery
Modula Image Gallery 2.2.4及更低版本具有已验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.2.5。
7. Duplicator
Duplicator 1.3.26及更低版本具有未经身份验证的任意文件下载漏洞。 该漏洞已修复,您应该更新到版本1.3.28。
8. Chained Quiz
Chained Quiz by Kiboko Labs 1.1.9及更低版本具有一个“身份验证的存储的跨站点脚本”漏洞。 该漏洞已修复,您应该更新到版本1.1.9.1。
9. RegistrationMagic
RegistrationMagic 4.6.0.1及更低版本具有多个“跨站点脚本”漏洞和一个“身份验证的SQL注入”漏洞。 漏洞已修复,您应该更新到4.6.0.3版。
10. Ultimate Membership Pro
Ultimate Membership Pro 8.7 版以下具有跨站点脚本和跨站点请求伪造漏洞。 该漏洞已修复,您应该更新到版本8.7。
11. Photo Gallery by 10Web
Photo Gallery版本1.5.45及更低版本具有多个跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本1.5.46。
12. Envira Photo Gallery
Envira Photo Gallery版本1.7.6和更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.6.2。
13. iThemes Sync Pro
iThemes Sync Pro 2.1.3及更低版本在身份验证请求中缺少随机数。 该漏洞已修复,您应该更新到版本2.1.3。
WordPress主题
1. Fruitful
Fruitful 主题版本3.8及以下版本容易受到未经身份验证的反映跨站点脚本攻击。 删除主题。已报告该漏洞,但主题开发人员未答复。
如何主动应对WordPress主题和插件漏洞
运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。
自动更新可以提供帮助
对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。
发表评论