WordPress插件漏洞汇总(2020年3月上半月)

2020年还没有公开的任何WordPress内核漏洞,但是今年的WordPress插件漏洞一直非常严重,今天我们来整理一下3月份上半月所发现的最新WordPress插件漏洞信息,希望大家可以仔细看下,自己是否在使用包含漏洞的插件版本。

WordPress插件漏洞

到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。

1. Pricing Table by Supsystic

Pricing Table by Supsystic 1.8.1及更低版本的定价表具有多个漏洞。 漏洞已修复,您应该更新到版本1.8.2以上

2. Flexible Checkout Fields for WooCommerce

Flexible Checkout Fields for WooCommerce 版本2.3.1及更低版本具有“未经身份验证的设置更新”漏洞。该插件遭到了恶意的积极利用,并向WooCommerce结帐页面注入了恶意脚本。 该漏洞已修复,您应该更新到版本2.3.2

3. Export Users

Export Users 1.4.2及更低版本易受CSV注入攻击。 该插件已在WordPress.org插件存储库上下架,应马上删除。

4. Hero Maps

Hero Maps 2.2.1及更低版本具有一个未经身份验证的反映跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.2.3

5. CardGate Payments for WooCommerce

CardGate Payments for WooCommerce 3.1.15及更低版本具有未经授权的付款劫持和订单状态欺骗漏洞。 该漏洞已修复,您应该更新到版本3.1.16

6. Async JavaScript

Async JavaScript 版本2.19.07.14及以下版本具有未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.20.03.01

7. 10Web Map Builder for Google Maps

10Web Map Builder for Google Maps 1.0.63及更低版本有一个未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本1.0.64

8. Modern Events Calendar Lite

Modern Events Calendar Lite 5.1.6及更低版本具有一个“存储的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本5.1.7

9. Appointment Booking Calendar

Appointment Booking Calendar 1.3.34及更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.3.35

10. WPForms

WPForms 1.5.8.2和更低版本具有“身份验证的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.5.9

11. WordPress WP-Advanced-Search

WordPress WP-Advanced-Search 3.3.3及更低版本具有未经身份验证的数据库访问和远程执行代码漏洞。 该漏洞已修复,您应该更新到版本3.3.4

12. Registration Magic

RegistrationMagic 4.6.0.1及更低版本具有多个安全漏洞。 该漏洞已修复,您应该更新到版本4.6.0.4

13. Brizy – Page Builder

Brizy – Page Builder版本1.0.113及以下版本具有“未经身份验证的网站设置更新” 漏洞。 该漏洞已修复,您应该更新到版本1.0.114

14. Custom Searchable Data Entry System

Custom Searchable Data Entry System 1.7.1及更低版本具有未经身份验证的数据修改和删除漏洞。该漏洞正在被积极利用。 安全补丁尚未发布,您应该删除该插件。

15. WP Security Audit Log

WP Security Audit Log 版本4.0.1及更低版本具有破坏访问控制漏洞。 该漏洞已修复,您应该更新到版本4.0.2

16. Popup Builder

Popup Builder 3.63及以下版本存在未经身份验证的XSS和信息泄露漏洞。漏洞可能允许未经身份验证的攻击者向显示在成千上万个网站上的弹出窗口注入恶意JavaScript代码,以窃取信息,并有可能完全接管目标站点。 该漏洞已修复,您应该更新到版本3.64.1

如何主动应对WordPress漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

更多应对方法

倡萌

一个文科IT宅男,喜欢折腾WordPress和被它折腾 ^_^

暂无评论

发表评论