漏洞播报

3月份WordPress插件漏洞列表

以下内容为2020年3月份已经发现的WordPress和插件相关漏洞,请给位自行查看是否有使用,及时更新到新版本避免发生损失。

WordPress插件漏洞

到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。

1. Pricing Table by Supsystic

Pricing Table by Supsystic 1.8.1及更低版本的定价表具有多个漏洞。 漏洞已修复,您应该更新到版本1.8.2以上。

2. Flexible Checkout Fields for WooCommerce

Flexible Checkout Fields for WooCommerce 版本2.3.1及更低版本具有“未经身份验证的设置更新”漏洞。该插件遭到了恶意的积极利用,并向WooCommerce结帐页面注入了恶意脚本。 该漏洞已修复,您应该更新到版本2.3.2。

3. Export Users

Export Users 1.4.2及更低版本易受CSV注入攻击。 该插件已在WordPress.org插件存储库上下架,应马上删除。

4. Hero Maps

Hero Maps 2.2.1及更低版本具有一个未经身份验证的反映跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.2.3。

5. CardGate Payments for WooCommerce

CardGate Payments for WooCommerce 3.1.15及更低版本具有未经授权的付款劫持和订单状态欺骗漏洞。 该漏洞已修复,您应该更新到版本3.1.16。

6. Async JavaScript

Async JavaScript 版本2.19.07.14及以下版本具有未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.20.03.01。

7. 10Web Map Builder for Google Maps

10Web Map Builder for Google Maps 1.0.63及更低版本有一个未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本1.0.64。

8. Modern Events Calendar LiteModern

Events Calendar Lite 5.1.6及更低版本具有一个“存储的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本5.1.7。

9. Appointment Booking Calendar

Appointment Booking Calendar 1.3.34及更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.3.35。

10. WPForms

WPForms 1.5.8.2和更低版本具有“身份验证的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.5.9。

11. WordPress WP-Advanced-Search

WordPress WP-Advanced-Search 3.3.3及更低版本具有未经身份验证的数据库访问和远程执行代码漏洞。 该漏洞已修复,您应该更新到版本3.3.4。

12. Registration Magic

RegistrationMagic 4.6.0.1及更低版本具有多个安全漏洞。 该漏洞已修复,您应该更新到版本4.6.0.4。

13. Brizy – Page Builder

Brizy – Page Builder版本1.0.113及以下版本具有“未经身份验证的网站设置更新” 漏洞。 该漏洞已修复,您应该更新到版本1.0.114。

14. Custom Searchable Data Entry System

Custom Searchable Data Entry System 1.7.1及更低版本具有未经身份验证的数据修改和删除漏洞。该漏洞正在被积极利用。 安全补丁尚未发布,您应该删除该插件。

15. WP Security Audit Log

WP Security Audit Log 版本4.0.1及更低版本具有破坏访问控制漏洞。 该漏洞已修复,您应该更新到版本4.0.2。

16. Popup Builder

Popup Builder 3.63及以下版本存在未经身份验证的XSS和信息泄露漏洞。漏洞可能允许未经身份验证的攻击者向显示在成千上万个网站上的弹出窗口注入恶意JavaScript代码,以窃取信息,并有可能完全接管目标站点。 该漏洞已修复,您应该更新到版本3.64.1。

17、WordPress File Upload

版本低于 4.13.0 的 WordPress File Upload 插件具有远程执行代码漏洞。 请及时更新到 4.13.0 及以上版本。

18、LearnPress

LearnPress 版本 3.2.6.7 以下具有特权升级漏洞。请及时更新到 3.2.6.7 版本或以上。

19、Custom Post Type UI

Custom Post Type UI 版本 1.7.4 以下存在跨站请求伪造和存储的跨站脚本漏洞。请及时更新到 1.7.4 。

20、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授权,导致数据库泄漏漏洞。 请及时更新到 0.9.36 版本。

21、All-in-One WP Migration

All-in-One WP Migration 低于 7.15 版本具有任意备份下载漏洞。 请及时更新到 7.15 以上。

22、Newsletter

Newsletter 低于6.5.4本具有CSV注入漏洞。请及时更新到 6.5.4 以上。

23、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保护的AJAX端点漏洞。请及时更新到 2.2.6 以上。

24、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense 版本1.17.4以下 具有“已验证的反映跨站点脚本” 漏洞。请及时更新到 1.17.4 以上。

25、Cookiebot

低于3.6.1的Cookiebot版本具有身份验证的反映跨站点脚本漏洞。 请及时更新到3.6.1版本以上。

26、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic 版本 1.9.92 以下具有多个漏洞,请及时更新至 1.9.92 以上。

27、其他插件

Buddypress Component Stats
abstract-submission
WP e-Commerce Shop Styling
web-portal-lite-client
post-pdf-export
blogtopdf
gboutique

以上7个插件包含安全漏洞,并已被从WordPress仓库下架,请尽快禁用并删除!!

碰到WordPress漏洞怎么办

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

想了解更多WordPress安全内容请访问:WordPress安全专题

文章转至WP大学

本文是全系列中第19 / 20篇:WordPress安全

黑五50%折扣优惠

黑五WP主题插件推荐

限时促销

奶爸推荐黑五值得剁手的

WordPress主题、插件、主机

就这几天,别错过。

50% OFF

superman
Scroll to Top