1. <optgroup id="1j155"><li id="1j155"><source id="1j155"></source></li></optgroup><track id="1j155"></track>
          <acronym id="1j155"></acronym>
            首頁 / WordPress資訊 / WordPress主題插件相關漏洞匯總(2019年7月)
            Loading收藏0

            WordPress 的流行程度非常高,相關的主題和插件資源非常多,安全不容忽視!今天我們來看下7月份出現的一些主題和插件漏洞版本,如果你在用相關的包含漏洞的版本,請務必及時更新到最新版本!

            WordPress核心漏洞

            本月還沒有發現WordPress核心有新的漏洞,只要確保你在使用的WordPress程序為最新版本即可!

            WordPress插件漏洞

            今年7月發現了幾個新的WordPress插件漏洞。請務必按照下面建議的操作更新插件或完全卸載它。

            1.Yoast SEO

            Yoast SEO版本1.2.0-11.5及更低版本容易受到經過身份驗證的存儲XSS攻擊( Authenticated Stored XSS attack )。

            2.WooCommerce

            WooCommerce版本3.6.4及更低版本容易受到跨站點請求偽造和文件類型檢查的影響。

            3.Ad Inserter

            Ad Inserter 版本2.4.19及更低版本容易受到經過身份驗證的路徑遍歷( Authenticated Path Traversal )攻擊。

            4.Ocean Extra

            Ocean Extra插件版本1.5.8及更低版本容易受到未經身份驗證的設置更改和CSS注入攻擊。該漏洞將允許攻擊者更改一些WordPress設置并注入CSS以破壞網站。

            5.WP Statistics

            WP Statistics插件(版本12.6.6.1及更低版本)容易受到未經身份驗證的盲SQL注入攻擊

            6.Visitors Traffic Real Time Statistics

            Visitors Traffic Real Time Statistics 插件2.0.5及更低版本容易受到跨站點請求偽造攻擊。

            7.Essential Real Estate

            Essential Real Estate插件版本1.7.1及更低版本容易受到跨站點腳本攻擊。

            8.Appointment Booking Calendar

            Appointment Booking Calendar 版本1.3.18及更低版本容易受到未經身份驗證的存儲XSS攻擊。缺少授權檢查可能會導致跨站點腳本攻擊。

            9.Gallery PhotoBlocks

            Gallery PhotoBlocks版本1.1.40及更低版本容易受到跨站點腳本攻擊。

            10.Slimstat Analytics

            Slimstat Analytics版本4.8.3及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

            11.WP Google Maps

            WP Google Maps 版本7.11.34及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

            12. LiveChat

            LiveChat版本3.7.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

            13. Icegram

            Icegram 版本1.10.28.2及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

            14. WP Like Button

            WP Like Button插件易受身份驗證繞過攻擊。

            WordPress.org已關閉WP Like Button插件,因此請刪除該插件并找到替代品。

            15. File Manager

            File Manager 5.0及更低版本具有多個漏洞。據WebARX報告,如果被利用,漏洞允許任何登錄用戶查看,刪除或下載備份。如果您的網站有開放注冊,這意味著任何人都可以下載您的數據庫副本并查找可能導致進一步妥協的敏感信息。

            16. Newsletters

            Newsletter Lite 版本4.6.16及更低版本易受經過身份驗證的反射XSS攻擊。

            17. One Click SSL

            One Click SSL 1.4.6及更低版本有多個漏洞。這些漏洞如果被利用,可能會允許未經授權的設置更改,并允許低權限用戶調用AJAX方法。

            18. Ultimate Member

            Ultimate Member 版本2.0.51及更低版本容易受到跨站點請求偽造和存儲XSS攻擊。

            19. FV Flowplayer Video Player

            FV Flowplayer Video Player版本7.3.18.727及以下版本易受SQL注入攻擊。

            20.All-in-One WP Migration

            All-in-One WP Migration 6.97包含管理員后端跨站點腳本漏洞,建議使用該插件的用戶盡快更新到7.0版

            21.Coming Soon Page & Maintenance Mode

            Coming Soon Page & Maintenance Mode 1.7.8及以下版本,存在未經身份驗證的存儲跨站腳本(XSS)漏洞 ,請更新到最新的插件版本,或者禁用掉該插件!更多說明請看: http://www.y9629.com/hackers-exploit-recent-wordpress-plugin-bugs-for-malvertising.html

            22.OneSignal – Web Push Notifications

            OneSignal – Web Push Notifications 版本1.17.5及更低版本容易受到存儲XSS攻擊。

            該漏洞尚未修補。建議刪除插件,直到開發人員發布帶補丁的更新。

            23.WPS Hide Login

            WPS Hide Login 版本1.5.2.2及更低版本有一個錯誤,允許您訪問WordPress登錄頁面。建議升級到 1.5.3 版本!

            24.Photo Gallery by 10Web

            該插件的version1.5.30及以下版本容易受到SQL注入攻擊。建議升級到 1.5.31 版本以上!

            25.Email Subscribers & Newsletters

            插件的4.1.7及更低版本有SQL注入漏洞。建議升級到 4.1.8 版本以上!

            26.Contact Form & SMTP Plugin for WordPress

            版本1.5.1及更低版本容易受到跨站點請求偽造和HTML注入攻擊。建議升級到 1.5.2 版本以上!

            27.Everest Forms

            Everest Forms 版本1.4.9及更低版本的插件易受SQL注入攻擊。建議升級到 1.5.0 版本以上!

            28.Adaptive Images for WordPress

            Adaptive Images for WordPress 版本0.6.66及以下容易受到本地文件引入和刪除攻擊。建議升級到 0.6.67 版本以上!

            29.AdRotate Banner Manager

            AdRotate Banner Manager 插件的5.2及更低版本容易受到Authenticated SQL Injection的攻擊。建議升級到 5.3 版本以上!

            30.Contact Form 7 Dynamic Text Extension

            Contact Form 7 Dynamic Text Extension 插件版本2.0.2.1及更低版本容易受到跨站點腳本攻擊。建議升級到 2.0.3版本以上!

            31.Blog2Social: Social Media Auto Post & Scheduler

            Blog2Social: Social Media Auto Post & Scheduler 該插件的5.5.0及更低版本易受SQL注入攻擊。建議升級到 5.6.0 版本以上!

            32.Simple Membership

            Simple Membership 版本3.8.4及更低版本容易受到跨站點請求偽造攻擊。建議升級到 3.8.5 版本以上!

            33. Advanced Contact form 7 DB

            Advanced Contact form 7 DB 插件的1.6.1及更低版本易受SQL注入攻擊。建議升級到 1.7.1 版本以上!

            34.Coming Soon Page & Maintenance Mode

            Coming Soon Page & Maintenance Mode 版本1.8.0及更低版本容易受到未經身份驗證的存儲XSS攻擊。建議升級到 1.8.2 版本以上!

            35.WordPress Ultra Simple Paypal Shopping Cart

            WordPress Ultra Simple Paypal Shopping Cart 版本4.4及更低版本容易受到跨站點請求偽造和文件類型檢查的影響。建議升級到 4.5 版本以上!

            36.Category Specific RSS feed Subscription

            Category Specific RSS feed Subscription 版本2.0及更低版本容易受到跨站點請求偽造攻擊。建議升級到 2.1 版本以上!

            37.Appointment Hour Booking

            Appointment Hour Booking 版本1.1.45及更低版本容易受到跨站點腳本攻擊。建議升級到 1.1.46 版本以上!

            38.ND Shortcodes For Visual Composer

            ND Shortcodes For Visual Composer 版本 5.8 及以下版本容易受到 未經身份驗證的WP選項更新的影響。建議升級到 5.9.1 版本以上!

            WordPress主題漏洞

            1.Zoner – Real Estate WordPress Theme

            Zoner – Real Estate WordPress Theme 版本4.1及以下版本易受反射XSS和存儲XSS攻擊。

            WordPress漏洞修復建議

            請朋友們自己檢查下自己是否在使用有安全漏洞的插件版本,然后到官方去查看下是否有更新的版本提供,如果有,請升級到最新的版本,如果沒有,請卸載有漏洞的插件,并找到其他安全的替代品!

            你可能還喜歡

            發表評論

            我們是靠譜的WordPress建站團隊!

            專業承接WordPress網站建設及運維、WordPress主題和插件開發、漢化、安裝等服務

            聯系電話:189-3334-7774

            查看所有服務項目

            視頻教程: 點擊聯系我們
            建站咨詢: 點擊聯系我們
            售后支持: 點擊聯系我們
            廣告合作: 點擊聯系我們

            建站咨詢:189-3334-7774

            固定電話:0773-8282-430

            售后支持:133-0773-9152

            微信掃一掃,聯系我們

            丁香网