2019年11月马上就过去了,今天我们来整理一下这个月主要发现的WordPress主题和插件漏洞信息。希望大家都看下自己是否使用了存在安全问题的版本。
WordPress核心安全性更新
很高兴告诉大家,在这个月内 WordPress 核心没有发现新的安全漏洞。同时有一个好消息,那就是 WordPress 5.3 正式版在月中的时候已经发布了!
WordPress插件漏洞
11月份发现了一些插件漏洞,一起来看看。
1. Safe SVG
Safe SVG 1.9.5及更低版本容易受到跨站点脚本绕过攻击的攻击。该漏洞使攻击者可以绕过Safe SVG添加的保护。 建议更新到版本1.9.6 以上。
2. Currency Switcher for WooCommerce
Currency Switcher for WooCommerce 2.11.1版有一个“ 安全限制绕过”漏洞,该漏洞使攻击者可以启用设置中当前未启用的货币。 建议更新到版本2.11.2 以上。
3. Tidio Live Chat
Tidio Live Chat 4.1及更低版本容易受到跨站请求伪造的攻击,从而导致跨站脚本攻击。该漏洞可能使攻击者诱骗管理员添加将提供给所有访问者的恶意有效负载。 建议更新到版本4.2 以上。
4. IgniteUp – Coming Soon and Maintenance Mode
IgniteUp – Coming Soon and Maintenance Mode 3.4及更低版本具有多个漏洞:
- 任意文件删除
- 电子邮件中的HTML注入和CSRF
- 存储的跨站点脚本
- 披露订户的电子邮件地址
- 任意删除订户
- 任意插件的模板切换
建议更新到版本3.4.1以上。
5. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler 5.8.1版具有跨站点脚本漏洞。该漏洞将使攻击者能够执行可以通过恶意链接执行的任意HTML和JavaScript代码。 建议更新到版本5.9以上。
6. WP Google Review Slider
WP Google Review Slider 6.1版容易受到Authenticated SQL Injection攻击。 建议更新到版本6.2以上。
7. YITH Plugin Framework (39插件)
该WooCommerce插件YITH套件是容易受到身份验证设置更改攻击。
8. Sassy Social Share
Sassy Social Share 版本3.3.3及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本3.3.4以上。
9. WP Maintenance
WP Maintenance 版本 5.0.5及更低版本容易受到跨站点请求伪造到存储的跨站点脚本攻击的攻击。 建议更新到版本5.0.6以上。
10. Jetpack
Jetpack 版本5.1-7.9在“ 简码嵌入代码”中存在漏洞。 建议更新到版本7.9.1以上。
WordPress主题漏洞
1. Zoner – Real Estate Theme
Zoner Real Estate Theme 版本4.1.1及以下版本具有持久性跨站点脚本和不安全的直接对象引用漏洞。 建议更新到版本4.2以上。