2019年10月披露了20+個新的WordPress插件和主題漏洞,值得我們注意。在這篇文章中,我們介紹了最近的WordPress插件和主題漏洞,以及如果您在網站上運行一個易受攻擊的插件或主題,該怎麼辦。
我們將WordPress漏洞匯總分為四個不同的類別:
- WordPress核心
- WordPress插件
- WordPress主題
- 網絡上的安全問題
*我們包括來自網絡的漏洞,因為了解WordPress生態系統之外的漏洞也很重要。對服務器軟件的利用可以暴露敏感數據。數據庫違規可以為您站點上的用戶公開憑據,從而為攻擊者打開訪問您的站點的大門。
WordPress核心安全性更新
WordPress 5.2.3及以下版本具有幾個漏洞:
- 跨站腳本
- 未經驗證的帖子
- 跨站點腳本編寫導致Javascript注入
- JSON緩存中毒
- 服務器端請求偽造
- 網站後台的引薦來源驗證。
建議馬上更新到 WordPress 5.2.4 版本。
WordPress插件漏洞
今年10月發現了幾個新的WordPress插件漏洞。確保遵循以下建議的操作來更新插件或完全卸載它。
1. All In One WP Security & Firewall
All In One WP Security & Firewall 版本4.4.1及更低版本存在一個Open Redirect,它公開了“隱藏”的登錄頁面。建議更新到版本 4.4.2 以上。
2. Popup Maker
Popup Maker 1.8.12及更低版本具有“ 身份驗證損壞”漏洞。 建議更新到版本1.8.13 以上。
3. iThemes Sync
iThemes Sync 2.0.17及更低版本具有不足的安全密鑰驗證漏洞。該漏洞可能導致WordPress網站的全面受損,因此請確認您的網站運行的是2.0.18以上。
4. Download Plugins and Themes from Dashboard
Download Plugins and Themes from Dashboard 及更低版本容易受到未經身份驗證的存儲XSS攻擊。 建議更新到版本 1.6.0 以上。
5. wpDataTables
wpDataTables 2.0.7及更低版本容易受到跨站點腳本和SQL注入攻擊的攻擊。 建議更新到版本 2.0.8以上。
6. Lara’s Google Analytics
Lara’s Google Analytics 2.0.4及更低版本容易受到身份驗證的存儲的跨站點腳本攻擊。 建議更新到版本 2.0.5 以上。
7. Export Users to CSV
Export Users to CSV 版本1.3及更低版本具有未授權的CSV訪問漏洞。 建議更新到版本 1.4 以上。
8. SoundPress Plugin
SoundPress Plugin版本2.2.0及更低版本容易受到跨站點腳本攻擊的攻擊。 建議更新到版本3.0.1以上。
9. All In One SEO Pack
All In One SEO Pack 版本3.2.6及更低版本容易受到“ 存儲的跨站點腳本攻擊”的攻擊。攻擊者將需要使用經過身份驗證的用戶來利用此漏洞。如果攻擊者可以訪問管理員用戶,則他們可以執行PHP代碼並破壞服務器。 建議更新到版本 3.2.7 以上。
10. Broken Link Checker
卸載並刪除插件。作者ManageWP沒有積極維護插件,因此不會發布補丁。
11. Events Manager
Events Manager 5.9.5及更低版本容易受到存儲的跨站點腳本攻擊的攻擊。 建議更新到版本 5.9.6 以上 。
12. EU Cookie Law
EU Cookie Law 3.0.6及更低版本容易受到跨站點腳本攻擊的攻擊。該漏洞將使攻擊者可以插入任意HTML和Javascript來修改插件中的字體顏色,背景顏色和“禁用Cookie”文本設置。 建議更新到版本 3.1 以上 。
13. Fast Velocity Minify
Fast Velocity Minify版本2.7.6及更低版本存在一個漏洞,該漏洞使經過身份驗證的攻擊者可以發現WordPress安裝的完整根路徑。一個完整路徑漏洞,本身並不重要。但是,知道根路徑將為攻擊者提供所需的信息,以利用其他更嚴重的漏洞。 建議更新到版本 2.7.7 以上 。
14. SyntaxHighlighter Evolved
SyntaxHighlighter Evolved版本3.5.0及更低版本容易受到跨站點腳本攻擊的攻擊。 建議更新到版本 3.5.1 以上 。
15. WP HTML Mail
WP HTML Mail 2.9.0.3及更低版本容易受到HTML注入攻擊。 建議更新到版本2.9.1 以上 。
16. Sliced Invoices
Sliced Invoices 3.8.2及更低版本具有多個漏洞。漏洞包括經過身份驗證的SQL注入,經過身份驗證的反映的跨站點腳本,未經身份驗證的信息泄露(允許訪問發票)以及缺少跨站點請求偽造和身份驗證檢查。 建議更新到版本3.8.4 以上 。
17. Zoho CRM Lead Magnet Plugin
Zoho CRM Lead Magnet Plugin版本1.6.9容易受到身份驗證的跨站點腳本攻擊。該漏洞將使攻擊者能夠在用戶的瀏覽器中執行惡意代碼。 建議更新到版本1.6.9.1 以上 。
18. About Author
About Author 1.3.9版及更低版本容易受到身份驗證的跨站點腳本攻擊。 建議更新到版本1.4.0 以上 。
19. Email Templates
Email Templates 1.3版及更低版本容易受到HTML注入攻擊。 建議更新到版本1.3.1 以上 。
20. Groundhogg
Groundhogg版本1.3.11.3及更低版本容易受到身份驗證的跨站點腳本和SQL注入攻擊。建議更新到版本 2.0.9.11 以上 。
21. WP Email Template
WP Email Template 2.2.10及更低版本容易受到HTML注入攻擊。 建議更新到版本 2.2.11 以上 。
WordPress主題漏洞
1. InJob
InJob 3.3.7及更低版本容易受到跨站點腳本攻擊的攻擊。 建議更新到版本 3.3.8 以上 。
網絡上的安全問題
1. NGINX服務器上的PHP遠程執行代碼漏洞
如果您的網站運行在啟用了PHP-FPM的NGINX服務器上,則可能容易受到“ 遠程執行代碼”攻擊。
您應該立即與主機商聯繫,以確保您的服務器運行的是這些修復版本:PHP 7.3.11、7.2.24或7.1.33。