2019年11月马上就过去了,今天我们来整理一下这个月主要发现的WordPress主题和插件漏洞信息。希望大家都看下自己是否使用了存在安全问题的版本。
WordPress核心安全性更新
很高兴告诉大家,在这个月内 WordPress 核心没有发现新的安全漏洞。同时有一个好消息,那就是 WordPress 5.3 正式版在月中的时候已经发布了!
WordPress插件漏洞
11月份发现了一些插件漏洞,一起来看看。
1. Safe SVG
Safe SVG 1.9.5及更低版本容易受到跨站点脚本绕过攻击的攻击。该漏洞使攻击者可以绕过Safe SVG添加的保护。 建议更新到版本1.9.6 以上。
2. Currency Switcher for WooCommerce
Currency Switcher for WooCommerce 2.11.1版有一个“ 安全限制绕过”漏洞,该漏洞使攻击者可以启用设置中当前未启用的货币。 建议更新到版本2.11.2 以上。
3. Tidio Live Chat
Tidio Live Chat 4.1及更低版本容易受到跨站请求伪造的攻击,从而导致跨站脚本攻击。该漏洞可能使攻击者诱骗管理员添加将提供给所有访问者的恶意有效负载。 建议更新到版本4.2 以上。
4. IgniteUp – Coming Soon and Maintenance Mode
IgniteUp – Coming Soon and Maintenance Mode 3.4及更低版本具有多个漏洞:
- 任意文件删除
- 电子邮件中的HTML注入和CSRF
- 存储的跨站点脚本
- 披露订户的电子邮件地址
- 任意删除订户
- 任意插件的模板切换
建议更新到版本3.4.1以上。
5. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler 5.8.1版具有跨站点脚本漏洞。该漏洞将使攻击者能够执行可以通过恶意链接执行的任意HTML和JavaScript代码。 建议更新到版本5.9以上。
6. WP Google Review Slider
WP Google Review Slider 6.1版容易受到Authenticated SQL Injection攻击。 建议更新到版本6.2以上。
7. YITH Plugin Framework (39插件)
该WooCommerce插件YITH套件是容易受到身份验证设置更改攻击。下表总结了所有39个易受攻击的YITH插件:
- YITH WooCommerce Wishlist,请更新到版本 2.2.14 以上
- YITH CooCommerce Compare ,请更新到版本 2.3.15 以上
- YITH WooCommerce Quick View ,请更新到版本 1.3.15 以上
- YITH WooCommerce Zoom Magnifier ,请更新到版本 1.3.12 以上
- WooCommerce Ajax Search ,请更新到版本 1.7.1 以上
- WooCommerce Badges Management ,请更新到版本1.3.21 以上
- WooCommerce Brands Add-On ,请更新到版本 1.3.7以上
- WooCommerce Request a Quote ,请更新到版本 1.4.9以上
- WooCommerce Social Login ,请更新到版本1.3.6 以上
- WooCommerce Order Tracking ,请更新到版本 1.2.11 以上
- WooCommerce PDF Invoice ,请更新到版本 1.2.13 以上
- Pre-Order for WooCommerce ,请更新到版本 1.2.1 以上
- WooCommerce Advanced Reviews ,请更新到版本 1.2.1 以上
- WooCommerce Product Add-Ons ,请更新到版本1.5.23 以上
- WooCommerce Gift Cards ,请更新到版本1.3.8以上
- WooCommerce Subscriptions ,请更新到版本1.3.6以上
- WooCommerce Affiliates ,请更新到版本 1.6.3 以上
- WooCommerce Cart Messages ,请更新到版本 1.4.5 以上
- WooCommerce Product Bundles ,请更新到版本 1.1.17以上
- WooCommerce Frequently Bought Together ,请更新到版本 1.2.14 以上
- WooCommerce Multi-step Checkout ,请更新到版本 1.7.5 以上
- Color and Label Variations for WooCommerce ,请更新到版本 1.8.13 以上
- Custom Thank You Page for WooCommerce ,请更新到版本1.1.8 以上
- Product Size Charts for WooCommerce ,请更新到版本 1.1.13 以上
- WooCommerce Added to Cart ,请更新到版本 1.1.13 以上
- WooCommerce Bulk Product Editing ,请更新到版本 1.2.15 以上
- WooCommerce Stripe ,请更新到版本 2.0.2 以上
- WooCommerce Waiting List ,请更新到版本 1.3.11 以上
- WooCommerce Points and Rewards ,请更新到版本 1.3.6 以上
- WooCommerce Advanced Reviews ,请更新到版本 1.3.6 以上
- Advanced Refund System for WooCommerce ,请更新到版本 1.0.12 以上
- WooCommerce Authorize.net Payment Gateway ,请更新到版本 1.1.13 以上
- WooCommerce Best Sellers ,请更新到版本 1.1.13 以上
- WooCommerce MailChimp ,请更新到版本 2.1.4 以上
- WooCommerce Product Vendors ,请更新到版本 3.4.1以上
- WooCommerce Questions and Answers ,请更新到版本 1.2.0 以上
- WooCommerce Recover Abandoned Cart ,请更新到版本 1.2.0 以上
- PayPal Express Checkout for WooCommerce ,请更新到版本 1.2.6 以上
- Desktop Notifications for WooCommerce ,请更新到版本 1.2.8 以上
8. Sassy Social Share
Sassy Social Share 版本3.3.3及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本3.3.4以上。
9. WP Maintenance
WP Maintenance 版本 5.0.5及更低版本容易受到跨站点请求伪造到存储的跨站点脚本攻击的攻击。 建议更新到版本5.0.6以上。
10. Jetpack
Jetpack 版本5.1-7.9在“ 简码嵌入代码”中存在漏洞。 建议更新到版本7.9.1以上。
WordPress主题漏洞
1. Zoner – Real Estate Theme
Zoner Real Estate Theme 版本4.1.1及以下版本具有持久性跨站点脚本和不安全的直接对象引用漏洞。 建议更新到版本4.2以上。
其他安全问题
警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD
还是插件漏洞多,所以 尽量少用插件
YITH Plugin Framework (39插件)
这个太厉害了,好多装商城插件的都用它的
感谢分享,一直对安全方面不怎么注意,主要折腾主题模板了,回去看看手头的几个站