易受攻击的 WordPress 主题和插件
已发表: 2021-09-07介绍 :
WordPress 网站被黑的主要原因是易受攻击的插件和主题。 这些易受攻击的插件或主题会破坏网站,使其容易受到黑客攻击。 被黑的网站可能会导致勒索软件和数据泄露等严重问题,从而给品牌造成经济损失。
在本报告中,我们提到了截至 2021 年 8 月当前处于活动状态的易受攻击的插件和主题。每个插件或主题将根据严重程度具有低、中、高或严重等级。
在下面的部分中,我们提到了每个插件和主题的名称,它们可能会给您的网站带来重大问题。 每个插件或主题都包括漏洞类型、补丁版本号和严重性等级。
插件:1. rucy
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:2. WP-Backgrounds Lite
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:3. WP安全问题
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:4. Event Espresso 4 Decaf – 活动注册活动票务
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:5. WordPress 照片库 – 图片库
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:6. Opal Estate
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:7. 从 WooCommerce 同步到 Etsy Marketplace
- 漏洞:RCSRF 绕过
- 补丁版本:3.3.2
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 3.3.2。
插件:8. RAYS Grid
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:9. 销售媒体
- 漏洞:CSRF 绕过
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:10. 简单的电子商务
- 漏洞:任意文件上传
- 已修补版本:无已知修复
- 严重性评分:严重
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:11. WP课程LMS
- 漏洞:通过视频嵌入代码验证存储的 XSS
- 补丁版本:2.0.44
- 严重性评分:低
该漏洞已修复,因此您应该更新到版本 2.0.44。
插件:WP课程LMS
- 漏洞:反射的跨站脚本
- 补丁版本:2.0.44
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 2.0.44。
插件:12. CBX 书签和收藏夹
- 漏洞:反射的跨站脚本
- 补丁版本:1.6.9
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 1.6.9。
插件:13. WooCommerce 的 Afterpay 网关
- 漏洞:反射的跨站脚本
- 补丁版本:3.2.1
- 严重性评分:高
该漏洞已修补,因此您应该更新到版本 3.2.1。
插件:14.亚马逊自动链接
- 漏洞:反射的跨站脚本
- 补丁版本:4.6.20
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 4.6.20。
插件:15.发布轮播
- 漏洞:未经授权的 AJAX 调用
- 补丁版本:2.3.5
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 2.3.5。
您的 WordPress 网站上的错误? Helpbot 可以帮助您修复网站上的任何错误。 访问我们的博客并详细了解如何修复 WordPress 网站上的错误,还可以查看我们的 WordPress 维护和开发服务。
插件:16. Smash Balloon Social Post Feed
- 漏洞:未经身份验证的存储型 XSS
- 补丁版本:2.19.2
- 严重性评分:严重
该漏洞已修复,因此您应该更新到版本 2.19.2。
插件:17.停止用户枚举
- 漏洞:REST API 绕过
- 补丁版本:1.3.9
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 1.3.9。
插件:18. 语言栏标志
- 漏洞:CSRF 到存储的 XSS
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:19. 电子邮件大炮
- 漏洞:CSRF 到存储的 XSS
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:电子邮件大炮
- 漏洞:多个反射的跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:电子邮件大炮
- 漏洞:多个经过身份验证的 SQL 注入
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:电子邮件大炮
- 漏洞:任意文件上传
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:20。SEOPress 5.0.0
- 漏洞:经过身份验证的存储跨站点脚本
- 补丁版本:5.0.4
- 严重性评分:中
该漏洞已修补,因此您应该更新到版本 5.0.4。
插件:21. SP 项目和文档管理器
- 漏洞:反射的跨站脚本
- 补丁版本:4.26
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 4.26。
插件:SP 项目和文档管理器
- 漏洞:经过身份验证的 Shell 上传
- 补丁版本:4.22
- 严重性评分:中
该漏洞已修补,因此您应该更新到版本 4.22。
插件:22. WordPress 高级票务系统
- 漏洞:经过身份验证的存储跨站脚本 (XSS)
- 补丁版本:1.0.64
- 严重性评分:低
该漏洞已修复,因此您应该更新到版本 1.0.64。
插件:23. WPHEKA 请求报价
- 漏洞:CSRF 绕过
- 补丁版本:1.3
- 严重性评分:中
该漏洞已修补,因此您应该更新到版本 1.3。
插件:24. WAll 404 重定向到主页
- 漏洞:经过身份验证的存储跨站脚本 (XSS)
- 补丁版本:2.1
- 严重性评分:低
该漏洞已修补,因此您应该更新到版本 2.1。
插件:25. 文件查看器
- 漏洞:通过 CSRF 任意文件上传/删除
- 已修补版本:无已知修复
- 严重性评分:严重
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:26. Shopp 电子商务
- 漏洞:未经身份验证的任意文件上传
- 已修补版本:无已知修复
- 严重性评分:严重
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:27. MF Gig Calendar
- 漏洞:反射跨站脚本(XSS)
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:28. BuddyPress
- 漏洞:激活密钥泄露
- 补丁版本:9.1.1
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 9.1.1。
插件:BuddyPress
- 漏洞:SQL 注入
- 补丁版本:9.1.1
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 9.1.1。
插件:29. 立即直播
- 漏洞:经过身份验证的存储跨站点脚本
- 补丁版本:5.6.3
- 严重性评分:低
该漏洞已修补,因此您应该更新到版本 5.6.3。
插件:立即直播
- 漏洞:通过 CSRF 更新任意插件的设置
- 补丁版本:5.6.2
- 严重性评分:中
该漏洞已修补,因此您应该更新到版本 5.6.2。
插件:立即直播
- 漏洞:反射的跨站脚本
- 补丁版本:5.6.2
- 严重性评分:高
该漏洞已修补,因此您应该更新到版本 5.6.2。
插件:30. ThinkTwit
- 漏洞:经过身份验证的存储跨站脚本 (XSS)
- 补丁版本:1.7.1
- 严重性评分:低
该漏洞已修复,因此您应该更新到版本 1.7.1。
插件:31. 购物车和电子商务商店
- 漏洞:CSRF 到存储的跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:32. Gutenslider
- 漏洞:贡献者+存储型 XSS
- 补丁版本:5.2.0
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 5.2.0。
插件:33. 视觉链接预览
- 漏洞:未经授权的 AJAX 调用
- 补丁版本:2.2.3
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 2.2.3。
插件:34. 打印我的博客
- 漏洞:通过 CSRF 停用插件
- 补丁版本:3.4.2
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 2.2.3。
插件:35. Splash Header
- 漏洞:经过身份验证的存储跨站脚本 (XSS)
- 补丁版本:1.20.8
- 严重性评分:低
该漏洞已修复,因此您应该更新到版本 1.20.8。
插件:36.youForms for WordPress
- 漏洞:经过身份验证的存储跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:37. 可用性日历
- 漏洞:经过身份验证的存储跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:可用性日历
- 漏洞:经过身份验证的 SQL 注入
- 已修补版本:无已知修复
- 严重性评分:高
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:38. WP Mapa Politico Espana
- 漏洞:经过身份验证的存储型 XSS
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:39. Alojapro 小部件
- 漏洞:经过身份验证的存储跨站点脚本(XSS)
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:40.有上
- 漏洞:经过身份验证的存储跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:41. WP 对话框
- 漏洞:经过身份验证的存储跨站点脚本
- 已修补版本:无已知修复
- 严重性评分:低
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:42. 使用二维码捐款
- 漏洞:订阅者+存储的跨站脚本
- 已修补版本:无已知修复
- 严重性评分:中
此漏洞尚未修补。 卸载并删除插件,直到发布补丁。
插件:43. WP移动菜单
- 漏洞:反射跨站脚本(XSS)
- 补丁版本:2.8.2.3
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 2.8.2.3。
插件:44. 到 Zoho CRM 的 W3SCloud 联系表 7
- 漏洞:反射跨站脚本(XSS)
- 补丁版本:2.1.0
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 2.1.0。
插件:45. Erident 自定义登录和仪表板
- 漏洞:经过身份验证的存储跨站脚本 (XSS)
- 补丁版本:3.5.9
- 严重性评分:低
该漏洞已修复,因此您应该更新到版本 3.5.9。
插件:46. WP Cerber Security
- 漏洞:Rest-API 保护绕过
- 补丁版本:8.9.3
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 8.9.3。
插件:WP Cerber 安全
- 漏洞:2FA 身份验证绕过
- 补丁版本:8.9.3
- 严重性评分:中
该漏洞已修复,因此您应该更新到版本 8.9.3。
插件:47. Flagallery 照片组合
- 漏洞:全路径披露
- 补丁版本:4.25
- 严重性评分:中
该漏洞已修补,因此您应该更新到版本 4.25。
插件:48. GRAND Flash专辑库
- 漏洞:反射的跨站脚本
- 补丁版本:1.67
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 1.67。
插件:GRAND Flash 相册库 0.55
- 漏洞:lib/hitcounter.php pid 参数 SQL 注入
- 补丁版本:0.60
- 严重性评分:
该漏洞已修补,因此您应该更新到版本 0.60。
插件:GRAND Flash 相册库
- 漏洞:通过 wp-admin/admin.php 皮肤参数反射的跨站点脚本
- 补丁版本:1.76
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 1.76。
插件:GRAND Flash 相册库 1.9.0 & 2.0.0
- 漏洞:多个漏洞
- 补丁版本:2.10
- 严重性评分:高
该漏洞已修复,因此您应该更新到 2.10 版本。
插件:49. 2Way VideoCalls 和 Random Chat
- 漏洞:反射的跨站脚本
- 补丁版本:5.2.8
- 严重性评分:高
该漏洞已修复,因此您应该更新到版本 5.2.8。
结论 :
如果您的 WordPress 网站有这 49 个易受攻击的插件中的任何一个,请确保尽快将其删除或将其更新到安全版本。 有时,跟踪您网站上的插件会变得很有挑战性。 iThemes Security Pro 等工具可以帮助您扫描您的网站以查找任何故障或漏洞。 这些工具将确保您的网站保持安全。
