WordPress主题插件相关漏洞汇总(2019年11月)

2019年11月马上就过去了,今天我们来整理一下这个月主要发现的WordPress主题和插件漏洞信息。希望大家都看下自己是否使用了存在安全问题的版本。

WordPress核心安全性更新

很高兴告诉大家,在这个月内 WordPress 核心没有发现新的安全漏洞。同时有一个好消息,那就是 WordPress 5.3 正式版在月中的时候已经发布了!

WordPress插件漏洞

11月份发现了一些插件漏洞,一起来看看。

1. Safe SVG

Safe SVG 1.9.5及更低版本容易受到跨站点脚本绕过攻击的攻击。该漏洞使攻击者可以绕过Safe SVG添加的保护。 建议更新到版本1.9.6 以上。

2. Currency Switcher for WooCommerce

Currency Switcher for WooCommerce 2.11.1版有一个“ 安全限制绕过”漏洞,该漏洞使攻击者可以启用设置中当前未启用的货币。 建议更新到版本2.11.2 以上。

3. Tidio Live Chat

Tidio Live Chat 4.1及更低版本容易受到跨站请求伪造的攻击,从而导致跨站脚本攻击。该漏洞可能使攻击者诱骗管理员添加将提供给所有访问者的恶意有效负载。 建议更新到版本4.2 以上。

4. IgniteUp – Coming Soon and Maintenance Mode

IgniteUp – Coming Soon and Maintenance Mode 3.4及更低版本具有多个漏洞:

  • 任意文件删除
  • 电子邮件中的HTML注入和CSRF
  • 存储的跨站点脚本
  • 披露订户的电子邮件地址
  • 任意删除订户
  • 任意插件的模板切换

建议更新到版本3.4.1以上。

5. Blog2Social: Social Media Auto Post & Scheduler

Blog2Social: Social Media Auto Post & Scheduler 5.8.1版具有跨站点脚本漏洞。该漏洞将使攻击者能够执行可以通过恶意链接执行的任意HTML和JavaScript代码。 建议更新到版本5.9以上。

6. WP Google Review Slider

WP Google Review Slider 6.1版容易受到Authenticated SQL Injection攻击。 建议更新到版本6.2以上。

7. YITH Plugin Framework (39插件)

WooCommerce插件YITH套件是容易受到身份验证设置更改攻击。下表总结了所有39个易受攻击的YITH插件:

8. Sassy Social Share

Sassy Social Share 版本3.3.3及更低版本容易受到跨站点脚本攻击的攻击。 建议更新到版本3.3.4以上

9. WP Maintenance

WP Maintenance 版本 5.0.5及更低版本容易受到跨站点请求伪造到存储的跨站点脚本攻击的攻击。 建议更新到版本5.0.6以上

10. Jetpack

Jetpack 版本5.1-7.9在“ 简码嵌入代码”中存在漏洞。 建议更新到版本7.9.1以上

WordPress主题漏洞

1. Zoner – Real Estate Theme

Zoner Real Estate Theme 版本4.1.1及以下版本具有持久性跨站点脚本和不安全的直接对象引用漏洞。 建议更新到版本4.2以上

其他安全问题

警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD

倡萌

一个文科IT宅男,喜欢折腾WordPress和被它折腾 ^_^

2 条评论

发表评论