WordPress主题插件相关漏洞汇总(2020年2月上半月)

2020年2月上半月披露了新的WordPress插件和主题漏洞。在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress漏洞汇总分为3个不同类别:

  1. WordPress核心
  2. WordPress插件
  3. WordPress主题

WordPress核心漏洞

2020年没有任何已公开的WordPress漏洞。

WordPress插件漏洞

到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。

1. Elementor页面构建器

Elementor Page Builder版本2.8.4及更低版本具有经过身份验证的反映跨站点脚本漏洞。漏洞被已修复,因此您应该更新到版本2.8.5以上

2. Strong Testimonials

Strong Testimonials 版本2.40.0及更低版本具有一个“存储的跨站点脚本” 漏洞。 漏洞已被修复,因此您应该更新到版本2.40.0以上

3. Portfolio Filter Gallery

Portfolio Filter Gallery 版本1.1.2及更低版本具有跨站点请求伪造漏洞,该漏洞可能导致Reflected XSS攻击。 漏洞已被修复,因此您应该更新到版本1.1.3以上

4. Tutor LMS

Tutor LMS 1.5.2及更低版本的容易受到跨站点请求伪造攻击。 漏洞已被修复,因此您应该更新到版本1.5.3以上。

5. Login by Auth0

Login by Auth0 3.11.2及更低版本进行登录容易受到未经身份验证的Reflected XSS 攻击。 漏洞已被修复,因此您应该更新到版本3.11.3以上

6. Htaccess by BestWebSoft

Htaccess by BestWebSoft 具有跨站点请求伪造漏洞,该漏洞可能导致攻击者编辑.htaccess。 它已在WordPress.org插件存储库上关闭,有待审核,您应该马上删除该插件

7. Ultimate Membership Pro

Ultimate Membership Pro 低于8.6.1版本具有多个漏洞,可能导致低杠杆用户执行远程执行代码攻击。 漏洞已被修复,因此您应该更新到版本8.6.1以上

8. Events Manager & Events Manager Pro

Events Manager 低于版本5.9.7.2和 Events Manager Pro 低于2.6.7.2版本很容易受到CSV注入攻击。 漏洞已得到修补,您应该更新到Events Manager版本5.9.7.2和Events Manager Pro版本2.6.7.2

9. Profile Builder and Profile Builder Pro

3.1.1版以下的Profile Builder和Profile Builder Pro具有一个损坏的身份验证漏洞,允许未经身份验证的用户注册或编辑其帐户,并使用插件的表单获取管理员角色。 漏洞已被修复,您应该更新到版本3.1.1

10. Participants Database

Participants Database 1.9.5.5及更低版本容易受到身份验证的SQL注入攻击。 漏洞已修复,您应该更新到1.9.5.6版

11. GDPR Cookie Consent

GDPR Cookie Consent 版本1.8.2及更低版本具有不当访问控制漏洞,该漏洞可能允许低级用户更改帖子或页面的状态,并可能导致跨站点脚本攻击。 漏洞已修复,因此您应该更新到版本1.8.3

12. Ninja Forms

Ninja Forms 版本3.4.22及以下版本存在多个经过身份验证的存储跨站点脚本漏洞。漏洞已被修复, 因此您应该更新到版本3.4.23。

WordPress主题漏洞

1. Reality Theme

Reality Theme版本2.5.1和更低版本容易受到未经身份验证的反映跨站点脚本攻击。 漏洞已被修复,因此您应该更新到版本2.5.2

如何主动应对WordPress主题和插件漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

更多应对方法

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
欢迎关注我们的微信公众号:WPDAXUE

倡萌

一个文科IT宅男,喜欢折腾WordPress和被它折腾 ^_^

3 条评论

发表评论