2019年11月馬上就過去了,今天我們來整理一下這個月主要發現的WordPress主題和插件漏洞信息。希望大家都看下自己是否使用了存在安全問題的版本。
WordPress核心安全性更新
很高興告訴大家,在這個月內 WordPress 核心沒有發現新的安全漏洞。同時有一個好消息,那就是 WordPress 5.3 正式版在月中的時候已經發布了!
WordPress插件漏洞
11月份發現了一些插件漏洞,一起來看看。
1. Safe SVG
Safe SVG 1.9.5及更低版本容易受到跨站點腳本繞過攻擊的攻擊。該漏洞使攻擊者可以繞過Safe SVG添加的保護。 建議更新到版本1.9.6 以上。
2. Currency Switcher for WooCommerce
Currency Switcher for WooCommerce 2.11.1版有一個“ 安全限制繞過”漏洞,該漏洞使攻擊者可以啟用設置中當前未啟用的貨幣。 建議更新到版本2.11.2 以上。
3. Tidio Live Chat
Tidio Live Chat 4.1及更低版本容易受到跨站請求偽造的攻擊,從而導致跨站腳本攻擊。該漏洞可能使攻擊者誘騙管理員添加將提供給所有訪問者的惡意有效負載。 建議更新到版本4.2 以上。
4. IgniteUp – Coming Soon and Maintenance Mode
IgniteUp – Coming Soon and Maintenance Mode 3.4及更低版本具有多個漏洞:
- 任意文件刪除
- 電子郵件中的HTML注入和CSRF
- 存儲的跨站點腳本
- 披露訂戶的電子郵件地址
- 任意刪除訂戶
- 任意插件的模板切換
建議更新到版本3.4.1以上。
5. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler 5.8.1版具有跨站點腳本漏洞。該漏洞將使攻擊者能夠執行可以通過惡意鏈接執行的任意HTML和JavaScript代碼。 建議更新到版本5.9以上。
6. WP Google Review Slider
WP Google Review Slider 6.1版容易受到Authenticated SQL Injection攻擊。 建議更新到版本6.2以上。
7. YITH Plugin Framework (39插件)
該WooCommerce插件YITH套件是容易受到身份驗證設置更改攻擊。
8. Sassy Social Share
Sassy Social Share 版本3.3.3及更低版本容易受到跨站點腳本攻擊的攻擊。 建議更新到版本3.3.4以上。
9. WP Maintenance
WP Maintenance 版本 5.0.5及更低版本容易受到跨站點請求偽造到存儲的跨站點腳本攻擊的攻擊。 建議更新到版本5.0.6以上。
10. Jetpack
Jetpack 版本5.1-7.9在“ 簡碼嵌入代碼”中存在漏洞。 建議更新到版本7.9.1以上。
WordPress主題漏洞
1. Zoner – Real Estate Theme
Zoner Real Estate Theme 版本4.1.1及以下版本具有持久性跨站點腳本和不安全的直接對象引用漏洞。 建議更新到版本4.2以上。