WordPress 的流行程度非常高,相关的主题和插件资源非常多,安全不容忽视!今天我们来看下7月份出现的一些主题和插件漏洞版本,如果你在用相关的包含漏洞的版本,请务必及时更新到最新版本!
WordPress核心漏洞
本月还没有发现WordPress核心有新的漏洞,只要确保你在使用的WordPress程序为最新版本即可!
WordPress插件漏洞
今年7月发现了几个新的WordPress插件漏洞。请务必按照下面建议的操作更新插件或完全卸载它。
1.Yoast SEO
Yoast SEO版本1.2.0-11.5及更低版本容易受到经过身份验证的存储XSS攻击( Authenticated Stored XSS attack )。
2.WooCommerce
WooCommerce版本3.6.4及更低版本容易受到跨站点请求伪造和文件类型检查的影响。
3.Ad Inserter
Ad Inserter 版本2.4.19及更低版本容易受到经过身份验证的路径遍历( Authenticated Path Traversal )攻击。
4.Ocean Extra
Ocean Extra插件版本1.5.8及更低版本容易受到未经身份验证的设置更改和CSS注入攻击。该漏洞将允许攻击者更改一些WordPress设置并注入CSS以破坏网站。
5.WP Statistics
WP Statistics插件(版本12.6.6.1及更低版本)容易受到未经身份验证的盲SQL注入攻击
6.Visitors Traffic Real Time Statistics
Visitors Traffic Real Time Statistics 插件2.0.5及更低版本容易受到跨站点请求伪造攻击。
7.Essential Real Estate
Essential Real Estate插件版本1.7.1及更低版本容易受到跨站点脚本攻击。
8.Appointment Booking Calendar
Appointment Booking Calendar 版本1.3.18及更低版本容易受到未经身份验证的存储XSS攻击。缺少授权检查可能会导致跨站点脚本攻击。
9.Gallery PhotoBlocks
Gallery PhotoBlocks版本1.1.40及更低版本容易受到跨站点脚本攻击。
10.Slimstat Analytics
Slimstat Analytics版本4.8.3及更低版本容易受到跨站点请求伪造和存储XSS攻击。
11.WP Google Maps
WP Google Maps 版本7.11.34及更低版本容易受到跨站点请求伪造和存储XSS攻击。
12. LiveChat
LiveChat版本3.7.2及更低版本容易受到跨站点请求伪造和存储XSS攻击。
13. Icegram
Icegram 版本1.10.28.2及更低版本容易受到跨站点请求伪造和存储XSS攻击。
14. WP Like Button
WP Like Button插件易受身份验证绕过攻击。
WordPress.org已关闭WP Like Button插件,因此请删除该插件并找到替代品。
15. File Manager
File Manager 5.0及更低版本具有多个漏洞。据WebARX报告,如果被利用,漏洞允许任何登录用户查看,删除或下载备份。如果您的网站有开放注册,这意味着任何人都可以下载您的数据库副本并查找可能导致进一步妥协的敏感信息。
16. Newsletters
Newsletter Lite 版本4.6.16及更低版本易受经过身份验证的反射XSS攻击。
17. One Click SSL
One Click SSL 1.4.6及更低版本有多个漏洞。这些漏洞如果被利用,可能会允许未经授权的设置更改,并允许低权限用户调用AJAX方法。
18. Ultimate Member
Ultimate Member 版本2.0.51及更低版本容易受到跨站点请求伪造和存储XSS攻击。
19. FV Flowplayer Video Player
FV Flowplayer Video Player版本7.3.18.727及以下版本易受SQL注入攻击。
20.All-in-One WP Migration
All-in-One WP Migration 6.97包含管理员后端跨站点脚本漏洞,建议使用该插件的用户尽快更新到7.0版
WordPress主题漏洞
1.Zoner – Real Estate WordPress Theme
Zoner – Real Estate WordPress Theme 版本4.1及以下版本易受反射XSS和存储XSS攻击。
WordPress漏洞修复建议
请朋友们自己检查下自己是否在使用有安全漏洞的插件版本,然后到官方去查看下是否有更新的版本提供,如果有,请升级到最新的版本,如果没有,请卸载有漏洞的插件,并找到其他安全的替代品!