漏洞报告和负责任的披露对于网站安全意识和教育至关重要。针对已知软件漏洞的自动攻击是网站入侵的主要原因之一。
为了帮助网站所有者了解其环境所面临的潜在威胁,我们上个月为 WordPress 生态系统编制了一份重要安全更新和漏洞补丁列表。
我们强烈建议您始终使用最新的核心更新修补您的 CMS,以降低风险并保护您的 WordPress 网站。
WooCommerce – 跨站点脚本 (XSS)
安全风险:严重
利用级别:无需身份验证。
漏洞:跨站点脚本 (XSS)
安装数量:7,000,000+
受影响的软件:WooCommerce <= 8.9.2
修补版本:WooCommerce 8.9.3
缓解步骤:更新到WooCommerce插件版本 8.9.3 或更高版本。
Elementor 的必备插件 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5189
安装数量:2,000,000+
受影响的软件:Elementor 的基本插件 <= 5.9.23
修补版本:Elementor 的基本插件 5.9.24
缓解步骤:将Elementor 插件的 Essential Addons更新至5.9.24 或更高版本。
Elementor 页眉和页脚生成器 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5757
安装数量:2,000,000+
受影响的软件:Elementor Header & Footer Builder <= 1.6.35
修补版本:Elementor Header & Footer Builder 1.6.36
缓解步骤:更新到Elementor Header & Footer Builder插件版本 1.6.36 或更高版本。
WPS 隐藏登录 – 绕过漏洞
安全风险:中等
漏洞利用程度:无需身份验证。
漏洞:绕过漏洞
CVE:CVE-2024-2473
安装数量:1,000,000+
受影响的软件:WPS Hide Login <= 1.9.15
修补版本:WPS Hide Login 1.9.16
缓解步骤:更新到WPS Hide Login插件版本 1.9.16 或更高版本。
WPS Hide Login是一款非常轻量的插件,可让您轻松安全地将登录表单页面的 URL 更改为您想要的任何内容。它实际上不会重命名或更改核心中的文件,也不会添加重写规则。它只是拦截页面请求并在任何 WordPress 网站上工作。
Smush 图像优化 – 访问控制失效
安全风险:中等
漏洞利用级别:需要用户或更高级别的身份验证。
漏洞:访问控制损坏
CVE:CVE-2023-3352
安装数量:1,000,000+
受影响的软件:Smush Image Optimization <= 3.16.4
修补版本:Smush Image Optimization 3.16.5
缓解步骤:更新至Smush 图像优化插件版本 3.16.5 或更高版本。
Solid Security – 拒绝服务攻击
安全风险:中低
漏洞利用级别:无需身份验证。
漏洞:拒绝服务攻击
CVE:CVE-2022-44593
安装数量:900,000+
受影响的软件:Solid Security <= 9.3.1
修补版本:Solid Security 9.3.2
缓解步骤:更新到Solid Security插件版本 9.3.2 或更高版本。
Elementor 的高级附加组件 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5553
安装数量:700,000+
受影响的软件:Premium Addons for Elementor <= 4.10.33
修补版本:Premium Addons for Elementor 4.10.34
缓解步骤:将Elementor 插件的 Premium Addons更新至4.10.34 或更高版本。
Ocean Extra – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5531
安装数量:600,000+
受影响的软件:Ocean Extra <= 2.2.8
修补版本:Ocean Extra 2.2.9
缓解步骤:更新至Ocean Extra插件版本 2.2.9 或更高版本。
SiteOrigin Widgets Bundle – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5090
安装数量:600,000+
受影响的软件:SiteOrigin Widgets Bundle <= 1.61.0
修补版本:SiteOrigin Widgets Bundle 1.62.0
缓解步骤:更新到SiteOrigin Widgets Bundle插件版本 1.62.0 或更高版本。
SiteGuard WP 插件 – 绕过漏洞
安全风险:低
利用程度:无需身份验证。
漏洞:绕过漏洞
CVE:CVE-2024-37881
安装数量:500,000+
受影响的软件:SiteGuard WP Plugin <= 1.7.6
修补版本:SiteGuard WP Plugin 1.7.7
缓解步骤:更新到 SiteGuard WP 插件版本 1.7.7 或更高版本。
Kadence WP 的 Gutenberg Blocks 和 AI – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-4863
安装数量:400,000+
受影响的软件:Kadence WP <= 3.2.38 的 Gutenberg Blocks with AI
修补版本:Kadence WP 3.2.39 的 Gutenberg Blocks with AI
缓解步骤:将 Kadence WP 插件的 Gutenberg Blocks 与 AI 更新至 3.2.39 或更高版本。
SEOPress – 站内 SEO – 跨站脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-1168
安装数量:300,000+
受影响的软件:SEOPress <= 7.9.0
修补版本:SEOPress 7.9.1
缓解步骤:更新至 SEOPress 插件版本 7.9.1 或更高版本。
MetForm – 敏感数据暴露
安全风险:低
利用程度:无需身份验证。
漏洞:敏感数据暴露
CVE:CVE-2024-4266
安装数量:300,000+
受影响的软件:MetForm <= 3.8.8
修补版本:MetForm 3.8.9
缓解步骤:更新至 MetForm 插件版本 3.8.9 或更高版本。
WP Go Maps (以前称为 WP Google Maps) – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5994
安装数量:300,000+
受影响的软件:WP Go Maps <= 9.0.38
修补版本:WP Go Maps 9.0.39
缓解步骤:更新至 WP Go Maps 插件版本 9.0.39 或更高版本。
CartFlows 的 WordPress Funnel Builder – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-4632
安装数量:200,000+
受影响的软件:WooCommerce Checkout & Funnel Builder by CartFlows <= 2.0.7
修补版本:WooCommerce Checkout & Funnel Builder by CartFlows 2.0.8
缓解步骤:通过 CartFlows 插件版本 2.0.8 或更高版本更新 WordPress Funnel Builder。
ThemeIsle 的 Orbit Fox – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-2484
安装数量:200,000+
受影响的软件:ThemeIsle 的 Orbit Fox <= 2.10.34
修补版本:ThemeIsle 的 Orbit Fox 2.10.35
缓解步骤:将 ThemeIsle 插件更新至 Orbit Fox 2.10.35 或更高版本。
浮动聊天小部件 Chaty – 跨站点脚本 (XSS)
安全风险:低
漏洞利用级别:需要管理员级别身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-4149
安装数量:200,000+
受影响的软件:浮动聊天小部件 - Chaty <= 3.2.2
修补版本:浮动聊天小部件 Chaty 3.2.3
缓解步骤:更新至浮动聊天小部件 Chaty 插件版本 3.2.3 或更高版本。
Jeg Elementor Kit – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-4479
安装数量:200,000+
受影响的软件:Jeg Elementor Kit <= 2.6.5
修补版本:Jeg Elementor Kit 2.6.6
缓解步骤:更新到 Jeg Elementor Kit 插件版本 2.6.6 或更高版本。
Popup Builder – 访问控制失效
安全风险:中等
漏洞利用级别:需要用户或更高级别的身份验证。
漏洞:访问控制损坏
CVE:CVE-2023-6696、CVE-2024-2544
安装数量:200,000+
受影响的软件:Popup Builder <= 4.3.1
修补版本:Popup Builder 4.3.2
缓解步骤:更新至 Popup Builder 插件版本 4.3.2 或更高版本。
Download Manager – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要订阅者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-1766
安装数量:100,000+
受影响的软件:下载管理器 <= 3.2.86
修补版本:下载管理器 3.2.87
缓解步骤:更新至下载管理器插件版本 3.2.90 或更高版本。
FooGallery – 跨站点脚本 (XSS)
安全风险:低
利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-2122
安装数量:100,000+
受影响的软件:FooGallery <= 2.4.15
修补版本:FooGallery 2.4.16
缓解步骤:更新至 FooGallery 插件版本 2.4.16 或更高版本。
Elementor 的 PowerPack 附加组件 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5787
安装数量:100,000+
受影响的软件:Elementor 的 PowerPack 插件 <= 2.7.20
修补版本:Elementor 的 PowerPack 插件 2.7.21
缓解步骤:将 Elementor 插件的 PowerPack Addons 更新至 2.7.21 或更高版本。
Sassy Social 插件 – 跨站点脚本 (XSS)
安全风险:低
漏洞利用级别:需要管理员级别身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-4924
安装数量:100,000+
受影响的软件:Sassy Social Share <= 3.3.62
修补版本:Sassy Social Share 3.3.63
缓解步骤:更新至 Sassy Social Share 插件版本 3.3.63 或更高版本。
Search & Replace – SQL注入
安全风险:低
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:SQL 注入
CVE:CVE-2024-4145
安装数量:100,000+
受影响的软件:搜索和替换 <= 3.2.1
修补版本:搜索和替换 3.2.2
缓解步骤:更新至搜索和替换插件版本 3.2.2 或更高版本。
ShopLentor – 一体化解决方案 (以前称为 WooLentor) – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5530
安装数量:100,000+
受影响的软件:ShopLentor <= 2.9.0
修补版本:ShopLentor 2.9.1
缓解步骤:更新至 ShopLentor 插件版本 2.9.1 或更高版本。
Icegram Express 的电子邮件订阅者 – SQL 注入
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:SQL 注入
CVE:CVE-2024-37252
安装数量:90,000+
受影响的软件:Icegram Express 的电子邮件订阅者 <= 5.7.25
修补版本:Icegram Express 的电子邮件订阅者 5.7.26
缓解步骤:通过 Icegram Express 插件版本 5.7.26 或更高版本更新电子邮件订阅者。
Events Manager – 跨站点脚本 (XSS)
安全风险:低
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-3492
安装数量:90,000+
受影响的软件:活动管理器 – 日历、预订、门票等!<= 6.4.7
修补版本:活动管理器 – 日历、预订、门票等!6.4.8
缓解步骤:更新至活动管理器 - 日历、预订、门票等等!插件版本 6.4.8 或更高版本。
Defender Security – 恶意软件扫描程序、登录安全和防火墙 – 身份验证失效
安全风险:中等
漏洞利用程度:无需身份验证。
漏洞:身份验证失效
CVE:CVE-2022-44581
安装数量:90,000+
受影响的软件:Defender Security <= 3.3.2
修补版本:Defender Security 3.3.3
缓解步骤:更新到 Defender Security 插件版本 3.3.3 或更高版本。
Depicter 的滑块和弹出窗口生成器 – 访问控制失效
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:访问控制损坏
CVE:CVE-2024-4390
安装数量:90,000+
受影响的软件:Depicter 的 Slider & Popup Builder <= 3.0.9
修补版本:Depicter 的 Slider & Popup Builder 3.1.0
缓解步骤:将 Depicter 插件的 Slider & Popup Builder 更新至 3.1.0 或更高版本。
Icegram Express 的电子邮件订阅者 – SQL 注入
安全风险:严重
利用级别:无需身份验证。
漏洞:SQL 注入
CVE:CVE-2024-37252
安装数量:90,000+
受影响的软件:Icegram Express 的电子邮件订阅者 <= 5.7.23
修补版本:Icegram Express 的电子邮件订阅者 5.7.24
缓解步骤:通过 Icegram Express 插件版本 5.7.24 或更高版本更新电子邮件订阅者。
Bookly – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要订阅者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5584
安装数量:70,000+
受影响的软件:WordPress 在线预订和调度插件 – Bookly <= 23.2
修补版本:WordPress 在线预订和调度插件 – Bookly 23.3
缓解步骤:更新到 WordPress 在线预订和安排插件 - Bookly 插件版本 23.3 或更高版本。
Woody 代码片段 – 远程代码执行 (RCE)
安全风险:高
利用率等级:需要贡献者或更高级别的身份验证。
漏洞:远程代码执行 (RCE)
CVE:CVE-2024-3105
安装数量:70,000+
受影响的软件:Woody 代码片段 – 插入页眉页脚代码,AdSense 广告 <= 2.5.0
修补版本:Woody 代码片段 – 插入页眉页脚代码,AdSense 广告 2.5.1
缓解步骤:更新至 Woody 代码片段 - 插入页眉页脚代码、AdSense 广告插件版本 2.5.1 或更高版本。
Blog2Social:社交媒体自动发布和调度程序 – SQL 注入
安全风险:高
漏洞利用级别:需要订阅者或更高级别的身份验证。
漏洞:SQL 注入
CVE:CVE-2024-3549
安装数量:60,000+
受影响的软件:Blog2Social:社交媒体自动发布和调度程序 <= 7.4.1
修补版本:Blog2Social:社交媒体自动发布和调度程序 7.4.2
缓解步骤:更新至 Blog2Social:社交媒体自动发布和调度程序插件版本 7.4.2 或更高版本。
Media Library Assistant – SQL注入
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:SQL 注入
CVE:CVE-2024-5605
安装数量:70,000+
受影响的软件:Media Library Assistant <= 3.16
修补版本:Media Library Assistant 3.17
缓解步骤:更新至媒体库助手插件版本 3.17 或更高版本。
User Profile Picture – 访问控制中断
安全风险:低
漏洞利用级别:需要作者或更高级别的身份验证。
漏洞:访问控制损坏
CVE:CVE-2024-5639
安装数量:60,000+
受影响的软件:用户个人资料图片 <= 2.6.1
修补版本:用户个人资料图片 2.6.2
缓解步骤:更新至用户资料图片插件版本 2.6.2 或更高版本。
WP 2FA – WordPress 的双因素身份验证 – 敏感数据暴露
安全风险:低
利用程度:无需身份验证。
漏洞:敏感数据暴露
CVE:CVE-2022-44587
安装数量:60,000+
受影响的软件:WP 2FA <= 2.6.3
修补版本:WP 2FA 2.6.4
缓解步骤:更新到 WP 2FA 插件版本 2.6.4 或更高版本。
ConvertKit – 访问控制损坏
安全风险:低
利用程度:无需身份验证。
漏洞:访问控制损坏
CVE:CVE-2024-3961
安装数量:50,000+
受影响的软件:ConvertKit <= 2.4.9
修补版本:ConvertKit 2.4.9.1
缓解步骤:更新至 ConvertKit 插件版本 2.4.9.1 或更高版本。
Elementor 的 Sina 扩展 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2024-5036
安装数量:50,000+
受影响的软件:Sina Extension for Elementor <= 3.5.4
修补版本:Sina Extension for Elementor 3.5.5
缓解步骤:将 Elementor 插件的 Sina Extension 更新至 3.5.5 或更高版本。
Ultimate Blocks – WordPress Blocks 插件 – 跨站点脚本 (XSS)
安全风险:中等
漏洞利用级别:需要贡献者或更高级别的身份验证。
漏洞:跨站点脚本 (XSS)
CVE:CVE-2023-6692
安装数量:50,000+
受影响的软件:Ultimate Blocks <= 3.1.0
修补版本:Ultimate Blocks 3.1.1
缓解步骤:更新到 Ultimate Blocks 插件版本 3.1.1 或更高版本。
WP Maintenance – 绕过漏洞
安全风险:低
利用程度:无需身份验证。
漏洞:绕过漏洞
CVE:CVE-2024-0789
安装数量:50,000+
受影响的软件:WP Maintenance <= 6.1.9.2
修补版本:WP Maintenance 6.1.9.3
缓解步骤:更新至 WP Maintenance 插件版本 6.1.9.3 或更高版本。
原文始发于微信公众号(独眼情报):2024 年 6 月 WordPress 漏洞及补丁汇总
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论