WordPress 的流行程度非常高,相關的主題和插件資源非常多,安全不容忽視!今天我們來看下7月份出現的一些主題和插件漏洞版本,如果你在用相關的包含漏洞的版本,請務必及時更新到最新版本!
WordPress核心漏洞
本月還沒有發現WordPress核心有新的漏洞,只要確保你在使用的WordPress程序為最新版本即可!
WordPress插件漏洞
今年7月發現了幾個新的WordPress插件漏洞。請務必按照下面建議的操作更新插件或完全卸載它。
1.Yoast SEO
Yoast SEO版本1.2.0-11.5及更低版本容易受到經過身份驗證的存儲XSS攻擊( Authenticated Stored XSS attack )。
2.WooCommerce
WooCommerce版本3.6.4及更低版本容易受到跨站點請求偽造和文件類型檢查的影響。
3.Ad Inserter
Ad Inserter 版本2.4.19及更低版本容易受到經過身份驗證的路徑遍歷( Authenticated Path Traversal )攻擊。
4.Ocean Extra
Ocean Extra插件版本1.5.8及更低版本容易受到未經身份驗證的設置更改和CSS注入攻擊。該漏洞將允許攻擊者更改一些WordPress設置並注入CSS以破壞網站。
5.WP Statistics
WP Statistics插件(版本12.6.6.1及更低版本)容易受到未經身份驗證的盲SQL注入攻擊
6.Visitors Traffic Real Time Statistics
Visitors Traffic Real Time Statistics 插件2.0.5及更低版本容易受到跨站點請求偽造攻擊。
7.Essential Real Estate
Essential Real Estate插件版本1.7.1及更低版本容易受到跨站點腳本攻擊。
8.Appointment Booking Calendar
Appointment Booking Calendar 版本1.3.18及更低版本容易受到未經身份驗證的存儲XSS攻擊。缺少授權檢查可能會導致跨站點腳本攻擊。
9.Gallery PhotoBlocks
Gallery PhotoBlocks版本1.1.40及更低版本容易受到跨站點腳本攻擊。
10.Slimstat Analytics
Slimstat Analytics版本4.8.3及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。
11.WP Google Maps
WP Google Maps 版本7.11.34及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。
12. LiveChat
LiveChat版本3.7.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。
13. Icegram
Icegram 版本1.10.28.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。
14. WP Like Button
WP Like Button插件易受身份驗證繞過攻擊。
WordPress.org已關閉WP Like Button插件,因此請刪除該插件並找到替代品。
15. File Manager
File Manager 5.0及更低版本具有多個漏洞。據WebARX報告,如果被利用,漏洞允許任何登錄用戶查看,刪除或下載備份。如果您的網站有開放註冊,這意味着任何人都可以下載您的數據庫副本並查找可能導致進一步妥協的敏感信息。
16. Newsletters
Newsletter Lite 版本4.6.16及更低版本易受經過身份驗證的反射XSS攻擊。
17. One Click SSL
One Click SSL 1.4.6及更低版本有多個漏洞。這些漏洞如果被利用,可能會允許未經授權的設置更改,並允許低權限用戶調用AJAX方法。
18. Ultimate Member
Ultimate Member 版本2.0.51及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。
19. FV Flowplayer Video Player
FV Flowplayer Video Player版本7.3.18.727及以下版本易受SQL注入攻擊。
20.All-in-One WP Migration
All-in-One WP Migration 6.97包含管理員後端跨站點腳本漏洞,建議使用該插件的用戶儘快更新到7.0版
WordPress主題漏洞
1.Zoner – Real Estate WordPress Theme
Zoner – Real Estate WordPress Theme 版本4.1及以下版本易受反射XSS和存儲XSS攻擊。
WordPress漏洞修復建議
請朋友們自己檢查下自己是否在使用有安全漏洞的插件版本,然後到官方去查看下是否有更新的版本提供,如果有,請升級到最新的版本,如果沒有,請卸載有漏洞的插件,並找到其他安全的替代品!