WordPress插件漏洞汇总(2020年3月下半月)

最近WordPress安全形势不容忽视,尤其是WP-VCD恶意代码在WordPress盗版主题和插件中传播迅速,感染非常严重!

WordPress插件漏洞

3月下半月,不少插件爆出了安全漏洞,一起来看下。

1、WordPress File Upload

版本低于 4.13.0 的 WordPress File Upload  插件具有远程执行代码漏洞。 请及时更新到 4.13.0 及以上版本

2、LearnPress

LearnPress 版本 3.2.6.7 以下具有特权升级漏洞。请及时更新到 3.2.6.7 版本或以上。

3、Custom Post Type UI

Custom Post Type UI 版本 1.7.4 以下存在跨站请求伪造和存储的跨站脚本漏洞。请及时更新到 1.7.4

4、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授权,导致数据库泄漏漏洞。 请及时更新到 0.9.36 版本

5、All-in-One WP Migration

All-in-One WP Migration 低于 7.15 版本具有任意备份下载漏洞。 请及时更新到 7.15 以上

6、Newsletter

Newsletter 低于6.5.4本具有CSV注入漏洞。请及时更新到 6.5.4 以上

7、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保护的AJAX端点漏洞。请及时更新到 2.2.6 以上

8、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense  版本1.17.4以下 具有“已验证的反映跨站点脚本” 漏洞。请及时更新到 1.17.4 以上

9、Cookiebot

低于3.6.1的Cookiebot版本具有身份验证的反映跨站点脚本漏洞。 请及时更新到3.6.1版本以上

10、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic  版本 1.9.92 以下具有多个漏洞,请及时更新至 1.9.92 以上

11、其他插件

  1. Buddypress Component Stats
  2. abstract-submission
  3. WP e-Commerce Shop Styling
  4. web-portal-lite-client
  5. post-pdf-export
  6. blogtopdf
  7. gboutique

以上7个插件包含安全漏洞,并已被从WordPress仓库下架,请尽快禁用并删除!!

如何主动应对WordPress漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

更多应对方法

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
欢迎关注我们的微信公众号:WPDAXUE

倡萌

一个文科IT宅男,喜欢折腾WordPress和被它折腾 ^_^

暂无评论

发表评论