2020年還沒有公開的任何WordPress內核漏洞,但是今年的WordPress插件漏洞一直非常嚴重,今天我們來整理一下3月份上半月所發現的最新WordPress插件漏洞信息,希望大家可以仔細看下,自己是否在使用包含漏洞的插件版本。
WordPress插件漏洞
到目前為止,本月已經發現了幾個新的WordPress插件漏洞。確保按照以下建議的操作來更新插件或完全卸載它。
1. Pricing Table by Supsystic
Pricing Table by Supsystic 1.8.1及更低版本的定價表具有多個漏洞。 漏洞已修復,您應該更新到版本1.8.2以上。
2. Flexible Checkout Fields for WooCommerce
Flexible Checkout Fields for WooCommerce 版本2.3.1及更低版本具有“未經身份驗證的設置更新”漏洞。該插件遭到了惡意的積極利用,並向WooCommerce結帳頁面注入了惡意腳本。 該漏洞已修復,您應該更新到版本2.3.2。
3. Export Users
Export Users 1.4.2及更低版本易受CSV注入攻擊。 該插件已在WordPress.org插件存儲庫上下架,應馬上刪除。
4. Hero Maps
Hero Maps 2.2.1及更低版本具有一個未經身份驗證的反映跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本2.2.3。
5. CardGate Payments for WooCommerce
CardGate Payments for WooCommerce 3.1.15及更低版本具有未經授權的付款劫持和訂單狀態欺騙漏洞。 該漏洞已修復,您應該更新到版本3.1.16。
6. Async JavaScript
Async JavaScript 版本2.19.07.14及以下版本具有未經身份驗證的存儲的跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本2.20.03.01。
7. 10Web Map Builder for Google Maps
10Web Map Builder for Google Maps 1.0.63及更低版本有一個未經身份驗證的存儲的跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本1.0.64。
8. Modern Events Calendar Lite
Modern Events Calendar Lite 5.1.6及更低版本具有一個“存儲的跨站點腳本” 漏洞。 該漏洞已修復,您應該更新到版本5.1.7。
9. Appointment Booking Calendar
Appointment Booking Calendar 1.3.34及更低版本具有“身份驗證的存儲跨站點腳本” 漏洞。 該漏洞已修復,您應該更新到版本1.3.35。
10. WPForms
WPForms 1.5.8.2和更低版本具有“身份驗證的跨站點腳本” 漏洞。 該漏洞已修復,您應該更新到版本1.5.9。
11. WordPress WP-Advanced-Search
WordPress WP-Advanced-Search 3.3.3及更低版本具有未經身份驗證的數據庫訪問和遠程執行代碼漏洞。 該漏洞已修復,您應該更新到版本3.3.4。
12. Registration Magic
RegistrationMagic 4.6.0.1及更低版本具有多個安全漏洞。 該漏洞已修復,您應該更新到版本4.6.0.4。
13. Brizy – Page Builder
Brizy – Page Builder版本1.0.113及以下版本具有“未經身份驗證的網站設置更新” 漏洞。 該漏洞已修復,您應該更新到版本1.0.114。
14. Custom Searchable Data Entry System
Custom Searchable Data Entry System 1.7.1及更低版本具有未經身份驗證的數據修改和刪除漏洞。該漏洞正在被積極利用。 安全補丁尚未發布,您應該刪除該插件。
15. WP Security Audit Log
WP Security Audit Log 版本4.0.1及更低版本具有破壞訪問控制漏洞。 該漏洞已修復,您應該更新到版本4.0.2。
16. Popup Builder
Popup Builder 3.63及以下版本存在未經身份驗證的XSS和信息泄露漏洞。漏洞可能允許未經身份驗證的攻擊者向顯示在成千上萬個網站上的彈出窗口注入惡意JavaScript代碼,以竊取信息,並有可能完全接管目標站點。 該漏洞已修復,您應該更新到版本3.64.1。
如何主動應對WordPress漏洞
運行過時的軟件是WordPress網站遭到黑客入侵的第一原因。擁有更新例程對於WordPress網站的安全至關重要。您應該每周至少登錄一次網站以執行更新。
自動更新可以提供幫助
對於不經常更改的WordPress網站,自動更新是一個不錯的選擇。缺乏關注通常會使這些站點被忽略並且容易受到攻擊。即使使用了建議的安全設置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。