2019年10月披露了20+个新的WordPress插件和主题漏洞,值得我们注意。在这篇文章中,我们介绍了最近的WordPress插件和主题漏洞,以及如果您在网站上运行一个易受攻击的插件或主题,该怎么办。
我们将WordPress漏洞汇总分为四个不同的类别:
- WordPress核心
- WordPress插件
- WordPress主题
- 网络上的安全问题
*我们包括来自网络的漏洞,因为了解WordPress生态系统之外的漏洞也很重要。对服务器软件的利用可以暴露敏感数据。数据库违规可以为您站点上的用户公开凭据,从而为攻击者打开访问您的站点的大门。
WordPress核心安全性更新
WordPress 5.2.3及以下版本具有几个漏洞:
- 跨站脚本
- 未经验证的帖子
- 跨站点脚本编写导致Javascript注入
- JSON缓存中毒
- 服务器端请求伪造
- 网站后台的引荐来源验证。
建议马上更新到 WordPress 5.2.4 版本。
WordPress插件漏洞
今年10月发现了几个新的WordPress插件漏洞。确保遵循以下建议的操作来更新插件或完全卸载它。
1. All In One WP Security & Firewall
All In One WP Security & Firewall 版本4.4.1及更低版本存在一个Open Redirect,它公开了“隐藏”的登录页面。建议更新到版本 4.4.2 以上。
2. Popup Maker
Popup Maker 1.8.12及更低版本具有“ 身份验证损坏”漏洞。 建议更新到版本1.8.13 以上。
3. iThemes Sync
iThemes Sync 2.0.17及更低版本具有不足的安全密钥验证漏洞。该漏洞可能导致WordPress网站的全面受损,因此请确认您的网站运行的是2.0.18以上。
4. Download Plugins and Themes from Dashboard
Download Plugins and Themes from Dashboard 及更低版本容易受到未经身份验证的存储XSS攻击。 建议更新到版本 1.6.0 以上。
5. wpDataTables
wpDataTables 2.0.7及更低版本容易受到跨站点脚本和SQL注入攻击的攻击。 建议更新到版本 2.0.8以上。
6. Lara’s Google Analytics
Lara’s Google Analytics 2.0.4及更低版本容易受到身份验证的存储的跨站点脚本攻击。 建议更新到版本 2.0.5 以上。
7. Export Users to CSV
Export Users to CSV 版本1.3及更低版本具有未授权的CSV访问漏洞。 建议更新到版本 1.4 以上。
8. SoundPress Plugin
SoundPress Plugin版本2.2.0及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本3.0.1以上。
9. All In One SEO Pack
All In One SEO Pack 版本3.2.6及更低版本容易受到“ 存储的跨站点脚本攻击”的攻击。攻击者将需要使用经过身份验证的用户来利用此漏洞。如果攻击者可以访问管理员用户,则他们可以执行PHP代码并破坏服务器。 建议更新到版本 3.2.7 以上。
10. Broken Link Checker
Broken Link Checker 1.11.8及更低版本容易受到身份验证的跨站点脚本攻击。 建议更新到版本 1.11.9 以上 。
11. Events Manager
Events Manager 5.9.5及更低版本容易受到存储的跨站点脚本攻击的攻击。 建议更新到版本 5.9.6 以上 。
12. EU Cookie Law
EU Cookie Law 3.0.6及更低版本容易受到跨站点脚本攻击的攻击。该漏洞将使攻击者可以插入任意HTML和Javascript来修改插件中的字体颜色,背景颜色和“禁用Cookie”文本设置。 建议更新到版本 3.1 以上 。
13. Fast Velocity Minify
Fast Velocity Minify版本2.7.6及更低版本存在一个漏洞,该漏洞使经过身份验证的攻击者可以发现WordPress安装的完整根路径。一个完整路径漏洞,本身并不重要。但是,知道根路径将为攻击者提供所需的信息,以利用其他更严重的漏洞。 建议更新到版本 2.7.7 以上 。
14. SyntaxHighlighter Evolved
SyntaxHighlighter Evolved版本3.5.0及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本 3.5.1 以上 。
15. WP HTML Mail
WP HTML Mail 2.9.0.3及更低版本容易受到HTML注入攻击。 建议更新到版本2.9.1 以上 。
16. Sliced Invoices
Sliced Invoices 3.8.2及更低版本具有多个漏洞。漏洞包括经过身份验证的SQL注入,经过身份验证的反映的跨站点脚本,未经身份验证的信息泄露(允许访问发票)以及缺少跨站点请求伪造和身份验证检查。 建议更新到版本3.8.4 以上 。
17. Zoho CRM Lead Magnet Plugin
Zoho CRM Lead Magnet Plugin版本1.6.9容易受到身份验证的跨站点脚本攻击。该漏洞将使攻击者能够在用户的浏览器中执行恶意代码。 建议更新到版本1.6.9.1 以上 。
18. About Author
About Author 1.3.9版及更低版本容易受到身份验证的跨站点脚本攻击。 建议更新到版本1.4.0 以上 。
19. Email Templates
Email Templates 1.3版及更低版本容易受到HTML注入攻击。 建议更新到版本1.3.1 以上 。
20. Groundhogg
Groundhogg版本1.3.11.3及更低版本容易受到身份验证的跨站点脚本和SQL注入攻击。建议更新到版本 2.0.9.11 以上 。
21. WP Email Template
WP Email Template 2.2.10及更低版本容易受到HTML注入攻击。 建议更新到版本 2.2.11 以上 。
22. GiveWP
GiveWP 2.5.9 及更低版本存在多个漏洞:-未经身份验证的插件的设置更改。 -已验证插件的设置更改。 -用于检索用户IP地址的标头中不可信数据的验证不正确。建议更新到版本 2.5.10 以上 。
WordPress主题漏洞
1. InJob
InJob 3.3.7及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本 3.3.8 以上 。
网络上的安全问题
1. NGINX服务器上的PHP远程执行代码漏洞
如果您的网站运行在启用了PHP-FPM的NGINX服务器上,则可能容易受到“ 远程执行代码”攻击。
您应该立即与主机商联系,以确保您的服务器运行的是这些修复版本:PHP 7.3.11、7.2.24或7.1.33。
有插件主题更新我都是第一时间更新的。php也更新了。
会技术就是好,可以大胆更新,^_^
是的,最近php升7.4,好几个网站出问题了