易受攻擊的 WordPress 主題和插件
已發表: 2021-09-07介紹 :
WordPress 網站被黑的主要原因是易受攻擊的插件和主題。 這些易受攻擊的插件或主題會破壞網站,使其容易受到黑客攻擊。 被黑的網站可能會導致勒索軟件和數據洩露等嚴重問題,從而給品牌造成經濟損失。
在本報告中,我們提到了截至 2021 年 8 月當前處於活動狀態的易受攻擊的插件和主題。每個插件或主題將根據嚴重程度具有低、中、高或嚴重等級。
在下面的部分中,我們提到了每個插件和主題的名稱,它們可能會給您的網站帶來重大問題。 每個插件或主題都包括漏洞類型、補丁版本號和嚴重性等級。
插件:1. rucy
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:2. WP-Backgrounds Lite
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:3. WP安全問題
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:4. Event Espresso 4 Decaf – 活動註冊活動票務
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:5. WordPress 照片庫 – 圖片庫
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:6. Opal Estate
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:7. 從 WooCommerce 同步到 Etsy Marketplace
- 漏洞:RCSRF 繞過
- 補丁版本:3.3.2
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 3.3.2。
插件:8. RAYS Grid
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:9. 銷售媒體
- 漏洞:CSRF 繞過
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:10. 簡單的電子商務
- 漏洞:任意文件上傳
- 已修補版本:無已知修復
- 嚴重性評分:嚴重
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:11. WP課程LMS
- 漏洞:通過視頻嵌入代碼驗證存儲的 XSS
- 補丁版本:2.0.44
- 嚴重性評分:低
該漏洞已修復,因此您應該更新到版本 2.0.44。
插件:WP課程LMS
- 漏洞:反射的跨站腳本
- 補丁版本:2.0.44
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 2.0.44。
插件:12. CBX 書籤和收藏夾
- 漏洞:反射的跨站腳本
- 補丁版本:1.6.9
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 1.6.9。
插件:13. WooCommerce 的 Afterpay 網關
- 漏洞:反射的跨站腳本
- 補丁版本:3.2.1
- 嚴重性評分:高
該漏洞已修補,因此您應該更新到版本 3.2.1。
插件:14.亞馬遜自動鏈接
- 漏洞:反射的跨站腳本
- 補丁版本:4.6.20
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 4.6.20。
插件:15.發布輪播
- 漏洞:未經授權的 AJAX 調用
- 補丁版本:2.3.5
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 2.3.5。
您的 WordPress 網站上的錯誤? Helpbot 可以幫助您修復網站上的任何錯誤。 訪問我們的博客並詳細了解如何修復 WordPress 網站上的錯誤,還可以查看我們的 WordPress 維護和開發服務。
插件:16. Smash Balloon Social Post Feed
- 漏洞:未經身份驗證的存儲型 XSS
- 補丁版本:2.19.2
- 嚴重性評分:嚴重
該漏洞已修復,因此您應該更新到版本 2.19.2。
插件:17.停止用戶枚舉
- 漏洞:REST API 繞過
- 補丁版本:1.3.9
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 1.3.9。
插件:18. 語言欄標誌
- 漏洞:CSRF 到存儲的 XSS
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:19. 電子郵件大砲
- 漏洞:CSRF 到存儲的 XSS
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:電子郵件大砲
- 漏洞:多個反射的跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:電子郵件大砲
- 漏洞:多個經過身份驗證的 SQL 注入
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:電子郵件大砲
- 漏洞:任意文件上傳
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:20。SEOPress 5.0.0
- 漏洞:經過身份驗證的存儲跨站點腳本
- 補丁版本:5.0.4
- 嚴重性評分:中
該漏洞已修補,因此您應該更新到版本 5.0.4。
插件:21. SP 項目和文檔管理器
- 漏洞:反射的跨站腳本
- 補丁版本:4.26
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 4.26。
插件:SP 項目和文檔管理器
- 漏洞:經過身份驗證的 Shell 上傳
- 補丁版本:4.22
- 嚴重性評分:中
該漏洞已修補,因此您應該更新到版本 4.22。
插件:22. WordPress 高級票務系統
- 漏洞:經過身份驗證的存儲跨站腳本 (XSS)
- 補丁版本:1.0.64
- 嚴重性評分:低
該漏洞已修復,因此您應該更新到版本 1.0.64。
插件:23. WPHEKA 請求報價
- 漏洞:CSRF 繞過
- 補丁版本:1.3
- 嚴重性評分:中
該漏洞已修補,因此您應該更新到版本 1.3。
插件:24. WAll 404 重定向到主頁
- 漏洞:經過身份驗證的存儲跨站腳本 (XSS)
- 補丁版本:2.1
- 嚴重性評分:低
該漏洞已修補,因此您應該更新到版本 2.1。
插件:25. 文件查看器
- 漏洞:通過 CSRF 任意文件上傳/刪除
- 已修補版本:無已知修復
- 嚴重性評分:嚴重
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:26. Shopp 電子商務
- 漏洞:未經身份驗證的任意文件上傳
- 已修補版本:無已知修復
- 嚴重性評分:嚴重
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:27. MF Gig Calendar
- 漏洞:反射跨站腳本(XSS)
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:28. BuddyPress
- 漏洞:激活密鑰洩露
- 補丁版本:9.1.1
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 9.1.1。
插件:BuddyPress
- 漏洞:SQL 注入
- 補丁版本:9.1.1
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 9.1.1。
插件:29. 立即直播
- 漏洞:經過身份驗證的存儲跨站點腳本
- 補丁版本:5.6.3
- 嚴重性評分:低
該漏洞已修補,因此您應該更新到版本 5.6.3。
插件:立即直播
- 漏洞:通過 CSRF 更新任意插件的設置
- 補丁版本:5.6.2
- 嚴重性評分:中
該漏洞已修補,因此您應該更新到版本 5.6.2。
插件:立即直播
- 漏洞:反射的跨站腳本
- 補丁版本:5.6.2
- 嚴重性評分:高
該漏洞已修補,因此您應該更新到版本 5.6.2。
插件:30. ThinkTwit
- 漏洞:經過身份驗證的存儲跨站腳本 (XSS)
- 補丁版本:1.7.1
- 嚴重性評分:低
該漏洞已修復,因此您應該更新到版本 1.7.1。
插件:31. 購物車和電子商務商店
- 漏洞:CSRF 到存儲的跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:32. Gutenslider
- 漏洞:貢獻者+存儲型 XSS
- 補丁版本:5.2.0
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 5.2.0。
插件:33. 視覺鏈接預覽
- 漏洞:未經授權的 AJAX 調用
- 補丁版本:2.2.3
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 2.2.3。
插件:34. 打印我的博客
- 漏洞:通過 CSRF 停用插件
- 補丁版本:3.4.2
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 2.2.3。
插件:35. Splash Header
- 漏洞:經過身份驗證的存儲跨站腳本 (XSS)
- 補丁版本:1.20.8
- 嚴重性評分:低
該漏洞已修復,因此您應該更新到版本 1.20.8。
插件:36.youForms for WordPress
- 漏洞:經過身份驗證的存儲跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:37. 可用性日曆
- 漏洞:經過身份驗證的存儲跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:可用性日曆
- 漏洞:經過身份驗證的 SQL 注入
- 已修補版本:無已知修復
- 嚴重性評分:高
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:38. WP Mapa Politico Espana
- 漏洞:經過身份驗證的存儲型 XSS
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:39. Alojapro 小部件
- 漏洞:經過身份驗證的存儲跨站點腳本(XSS)
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:40.有上
- 漏洞:經過身份驗證的存儲跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:41. WP 對話框
- 漏洞:經過身份驗證的存儲跨站點腳本
- 已修補版本:無已知修復
- 嚴重性評分:低
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:42. 使用二維碼捐款
- 漏洞:訂閱者+存儲的跨站腳本
- 已修補版本:無已知修復
- 嚴重性評分:中
此漏洞尚未修補。 卸載並刪除插件,直到發布補丁。
插件:43. WP移動菜單
- 漏洞:反射跨站腳本(XSS)
- 補丁版本:2.8.2.3
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 2.8.2.3。
插件:44. 到 Zoho CRM 的 W3SCloud 聯繫表 7
- 漏洞:反射跨站腳本(XSS)
- 補丁版本:2.1.0
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 2.1.0。
插件:45. Erident 自定義登錄和儀表板
- 漏洞:經過身份驗證的存儲跨站腳本 (XSS)
- 補丁版本:3.5.9
- 嚴重性評分:低
該漏洞已修復,因此您應該更新到版本 3.5.9。
插件:46. WP Cerber Security
- 漏洞:Rest-API 保護繞過
- 補丁版本:8.9.3
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 8.9.3。
插件:WP Cerber 安全
- 漏洞:2FA 身份驗證繞過
- 補丁版本:8.9.3
- 嚴重性評分:中
該漏洞已修復,因此您應該更新到版本 8.9.3。
插件:47. Flagallery 照片組合
- 漏洞:全路徑披露
- 補丁版本:4.25
- 嚴重性評分:中
該漏洞已修補,因此您應該更新到版本 4.25。
插件:48. GRAND Flash專輯庫
- 漏洞:反射的跨站腳本
- 補丁版本:1.67
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 1.67。
插件:GRAND Flash 相冊庫 0.55
- 漏洞:lib/hitcounter.php pid 參數 SQL 注入
- 補丁版本:0.60
- 嚴重性評分:
該漏洞已修補,因此您應該更新到版本 0.60。
插件:GRAND Flash 相冊庫
- 漏洞:通過 wp-admin/admin.php 皮膚參數反射的跨站點腳本
- 補丁版本:1.76
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 1.76。
插件:GRAND Flash 相冊庫 1.9.0 & 2.0.0
- 漏洞:多個漏洞
- 補丁版本:2.10
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到 2.10 版本。
插件:49. 2Way VideoCalls 和 Random Chat
- 漏洞:反射的跨站腳本
- 補丁版本:5.2.8
- 嚴重性評分:高
該漏洞已修復,因此您應該更新到版本 5.2.8。
結論 :
如果您的 WordPress 網站有這 49 個易受攻擊的插件中的任何一個,請確保盡快將其刪除或將其更新到安全版本。 有時,跟踪您網站上的插件會變得很有挑戰性。 iThemes Security Pro 等工具可以幫助您掃描您的網站以查找任何故障或漏洞。 這些工具將確保您的網站保持安全。
