漏洞报告和负责任的披露对于网站安全意识和教育至关重要。针对已知软件漏洞的自动攻击是网站入侵的主要原因之一。

为了帮助网站所有者了解其环境所面临的潜在威胁，我们上个月为 WordPress 生态系统编制了一份重要安全更新和漏洞补丁列表。

我们强烈建议您始终使用最新的核心更新修补您的 CMS，以降低风险并保护您的 WordPress 网站。

WooCommerce – 跨站点脚本 (XSS)

安全风险：严重
利用级别：无需身份验证。
漏洞：跨站点脚本 (XSS)
安装数量：7,000,000+
受影响的软件：WooCommerce <= 8.9.2
修补版本：WooCommerce 8.9.3
缓解步骤：更新到WooCommerce插件版本 8.9.3 或更高版本。

Elementor 的必备插件 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
CVE：CVE-2024-5189
安装数量：2,000,000+
受影响的软件：Elementor 的基本插件 <= 5.9.23
修补版本：Elementor 的基本插件 5.9.24
缓解步骤：将Elementor 插件的 Essential Addons更新至5.9.24 或更高版本。

Elementor 页眉和页脚生成器 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
CVE：CVE-2024-5757
安装数量：2,000,000+
受影响的软件：Elementor Header & Footer Builder <= 1.6.35
修补版本：Elementor Header & Footer Builder 1.6.36
缓解步骤：更新到Elementor Header & Footer Builder插件版本 1.6.36 或更高版本。

WPS 隐藏登录 – 绕过漏洞

安全风险：中等
漏洞利用程度：无需身份验证。
漏洞：绕过漏洞
CVE：CVE-2024-2473
安装数量：1,000,000+
受影响的软件：WPS Hide Login <= 1.9.15
修补版本：WPS Hide Login 1.9.16
缓解步骤：更新到WPS Hide Login插件版本 1.9.16 或更高版本。

WPS Hide Login是一款非常轻量的插件，可让您轻松安全地将登录表单页面的 URL 更改为您想要的任何内容。它实际上不会重命名或更改核心中的文件，也不会添加重写规则。它只是拦截页面请求并在任何 WordPress 网站上工作。

Smush 图像优化 – 访问控制失效

安全风险：中等
漏洞利用级别：需要用户或更高级别的身份验证。
漏洞：访问控制损坏
CVE：CVE-2023-3352
安装数量：1,000,000+
受影响的软件：Smush Image Optimization <= 3.16.4
修补版本：Smush Image Optimization 3.16.5
缓解步骤：更新至Smush 图像优化插件版本 3.16.5 或更高版本。

Solid Security  – 拒绝服务攻击

安全风险：中低
漏洞利用级别：无需身份验证。
漏洞：拒绝服务攻击
CVE：CVE-2022-44593
安装数量：900,000+
受影响的软件：Solid Security <= 9.3.1
修补版本：Solid Security 9.3.2
缓解步骤：更新到Solid Security插件版本 9.3.2 或更高版本。

Elementor 的高级附加组件 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5553
安装数量：700,000+
受影响的软件：Premium Addons for Elementor <= 4.10.33
修补版本：Premium Addons for Elementor 4.10.34
缓解步骤：将Elementor 插件的 Premium Addons更新至4.10.34 或更高版本。

Ocean Extra – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5531
安装数量：600,000+
受影响的软件：Ocean Extra <= 2.2.8
修补版本：Ocean Extra 2.2.9
缓解步骤：更新至Ocean Extra插件版本 2.2.9 或更高版本。

SiteOrigin Widgets Bundle – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5090
安装数量：600,000+
受影响的软件：SiteOrigin Widgets Bundle <= 1.61.0
修补版本：SiteOrigin Widgets Bundle 1.62.0
缓解步骤：更新到SiteOrigin Widgets Bundle插件版本 1.62.0 或更高版本。

SiteGuard WP 插件 – 绕过漏洞

安全风险：低
利用程度：无需身份验证。
漏洞：绕过漏洞
CVE：CVE-2024-37881
安装数量：500,000+
受影响的软件：SiteGuard WP Plugin <= 1.7.6
修补版本：SiteGuard WP Plugin 1.7.7
缓解步骤：更新到 SiteGuard WP 插件版本 1.7.7 或更高版本。

Kadence WP 的 Gutenberg Blocks 和 AI – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-4863
安装数量：400,000+
受影响的软件：Kadence WP <= 3.2.38 的 Gutenberg Blocks with AI
修补版本：Kadence WP 3.2.39 的 Gutenberg Blocks with AI
缓解步骤：将 Kadence WP 插件的 Gutenberg Blocks 与 AI 更新至 3.2.39 或更高版本。

SEOPress – 站内 SEO – 跨站脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-1168
安装数量：300,000+
受影响的软件：SEOPress <= 7.9.0
修补版本：SEOPress 7.9.1
缓解步骤：更新至 SEOPress 插件版本 7.9.1 或更高版本。

MetForm – 敏感数据暴露

安全风险：低
利用程度：无需身份验证。
漏洞：敏感数据暴露
CVE：CVE-2024-4266
安装数量：300,000+
受影响的软件：MetForm <= 3.8.8
修补版本：MetForm 3.8.9
缓解步骤：更新至 MetForm 插件版本 3.8.9 或更高版本。

WP Go Maps (以前称为 WP Google Maps) – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5994
安装数量：300,000+
受影响的软件：WP Go Maps <= 9.0.38
修补版本：WP Go Maps 9.0.39
缓解步骤：更新至 WP Go Maps 插件版本 9.0.39 或更高版本。

CartFlows 的 WordPress Funnel Builder – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-4632
安装数量：200,000+
受影响的软件：WooCommerce Checkout & Funnel Builder by CartFlows <= 2.0.7
修补版本：WooCommerce Checkout & Funnel Builder by CartFlows 2.0.8
缓解步骤：通过 CartFlows 插件版本 2.0.8 或更高版本更新 WordPress Funnel Builder。

ThemeIsle 的 Orbit Fox – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-2484
安装数量：200,000+
受影响的软件：ThemeIsle 的 Orbit Fox <= 2.10.34
修补版本：ThemeIsle 的 Orbit Fox 2.10.35
缓解步骤：将 ThemeIsle 插件更新至 Orbit Fox 2.10.35 或更高版本。

浮动聊天小部件 Chaty – 跨站点脚本 (XSS)

安全风险：低
漏洞利用级别：需要管理员级别身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-4149
安装数量：200,000+
受影响的软件：浮动聊天小部件 - Chaty <= 3.2.2
修补版本：浮动聊天小部件 Chaty 3.2.3
缓解步骤：更新至浮动聊天小部件 Chaty 插件版本 3.2.3 或更高版本。

Jeg Elementor Kit – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-4479
安装数量：200,000+
受影响的软件：Jeg Elementor Kit <= 2.6.5
修补版本：Jeg Elementor Kit 2.6.6
缓解步骤：更新到 Jeg Elementor Kit 插件版本 2.6.6 或更高版本。

Popup Builder  – 访问控制失效

安全风险：中等
漏洞利用级别：需要用户或更高级别的身份验证。
漏洞：访问控制损坏
CVE：CVE-2023-6696、CVE-2024-2544
安装数量：200,000+
受影响的软件：Popup Builder <= 4.3.1
修补版本：Popup Builder 4.3.2
缓解步骤：更新至 Popup Builder 插件版本 4.3.2 或更高版本。

Download Manager  – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要订阅者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-1766
安装数量：100,000+
受影响的软件：下载管理器 <= 3.2.86
修补版本：下载管理器 3.2.87
缓解步骤：更新至下载管理器插件版本 3.2.90 或更高版本。

FooGallery – 跨站点脚本 (XSS)

安全风险：低
利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-2122
安装数量：100,000+
受影响的软件：FooGallery <= 2.4.15
修补版本：FooGallery 2.4.16
缓解步骤：更新至 FooGallery 插件版本 2.4.16 或更高版本。

Elementor 的 PowerPack 附加组件 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5787
安装数量：100,000+
受影响的软件：Elementor 的 PowerPack 插件 <= 2.7.20
修补版本：Elementor 的 PowerPack 插件 2.7.21
缓解步骤：将 Elementor 插件的 PowerPack Addons 更新至 2.7.21 或更高版本。

Sassy Social 插件 – 跨站点脚本 (XSS)

安全风险：低
漏洞利用级别：需要管理员级别身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-4924
安装数量：100,000+
受影响的软件：Sassy Social Share <= 3.3.62
修补版本：Sassy Social Share 3.3.63
缓解步骤：更新至 Sassy Social Share 插件版本 3.3.63 或更高版本。

Search & Replace – SQL注入

安全风险：低
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：SQL 注入
CVE：CVE-2024-4145
安装数量：100,000+
受影响的软件：搜索和替换 <= 3.2.1
修补版本：搜索和替换 3.2.2
缓解步骤：更新至搜索和替换插件版本 3.2.2 或更高版本。

ShopLentor – 一体化解决方案 (以前称为 WooLentor) – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5530
安装数量：100,000+
受影响的软件：ShopLentor <= 2.9.0
修补版本：ShopLentor 2.9.1
缓解步骤：更新至 ShopLentor 插件版本 2.9.1 或更高版本。

Icegram Express 的电子邮件订阅者 – SQL 注入

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：SQL 注入
CVE：CVE-2024-37252
安装数量：90,000+
受影响的软件：Icegram Express 的电子邮件订阅者 <= 5.7.25
修补版本：Icegram Express 的电子邮件订阅者 5.7.26
缓解步骤：通过 Icegram Express 插件版本 5.7.26 或更高版本更新电子邮件订阅者。

Events Manager  – 跨站点脚本 (XSS)

安全风险：低
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-3492
安装数量：90,000+
受影响的软件：活动管理器 – 日历、预订、门票等！<= 6.4.7
修补版本：活动管理器 – 日历、预订、门票等！6.4.8
缓解步骤：更新至活动管理器 - 日历、预订、门票等等！插件版本 6.4.8 或更高版本。

Defender Security – 恶意软件扫描程序、登录安全和防火墙 – 身份验证失效

安全风险：中等
漏洞利用程度：无需身份验证。
漏洞：身份验证失效
CVE：CVE-2022-44581
安装数量：90,000+
受影响的软件：Defender Security <= 3.3.2
修补版本：Defender Security 3.3.3
缓解步骤：更新到 Defender Security 插件版本 3.3.3 或更高版本。

Depicter 的滑块和弹出窗口生成器 – 访问控制失效

安全风险：中等

漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：访问控制损坏
CVE：CVE-2024-4390
安装数量：90,000+
受影响的软件：Depicter 的 Slider & Popup Builder <= 3.0.9
修补版本：Depicter 的 Slider & Popup Builder 3.1.0
缓解步骤：将 Depicter 插件的 Slider & Popup Builder 更新至 3.1.0 或更高版本。

Icegram Express 的电子邮件订阅者 – SQL 注入

安全风险：严重
利用级别：无需身份验证。
漏洞：SQL 注入
CVE：CVE-2024-37252
安装数量：90,000+
受影响的软件：Icegram Express 的电子邮件订阅者 <= 5.7.23
修补版本：Icegram Express 的电子邮件订阅者 5.7.24
缓解步骤：通过 Icegram Express 插件版本 5.7.24 或更高版本更新电子邮件订阅者。

Bookly – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要订阅者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5584
安装数量：70,000+
受影响的软件：WordPress 在线预订和调度插件 – Bookly <= 23.2
修补版本：WordPress 在线预订和调度插件 – Bookly 23.3
缓解步骤：更新到 WordPress 在线预订和安排插件 - Bookly 插件版本 23.3 或更高版本。

Woody 代码片段 – 远程代码执行 (RCE)

安全风险：高
利用率等级：需要贡献者或更高级别的身份验证。
漏洞：远程代码执行 (RCE)
 CVE：CVE-2024-3105
安装数量：70,000+
受影响的软件：Woody 代码片段 – 插入页眉页脚代码，AdSense 广告 <= 2.5.0
修补版本：Woody 代码片段 – 插入页眉页脚代码，AdSense 广告 2.5.1
缓解步骤：更新至 Woody 代码片段 - 插入页眉页脚代码、AdSense 广告插件版本 2.5.1 或更高版本。

Blog2Social：社交媒体自动发布和调度程序 – SQL 注入

安全风险：高
漏洞利用级别：需要订阅者或更高级别的身份验证。
漏洞：SQL 注入
CVE：CVE-2024-3549
安装数量：60,000+
受影响的软件：Blog2Social：社交媒体自动发布和调度程序 <= 7.4.1
修补版本：Blog2Social：社交媒体自动发布和调度程序 7.4.2
缓解步骤：更新至 Blog2Social：社交媒体自动发布和调度程序插件版本 7.4.2 或更高版本。

Media Library Assistant – SQL注入

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：SQL 注入
CVE：CVE-2024-5605
安装数量：70,000+
受影响的软件：Media Library Assistant <= 3.16
修补版本：Media Library Assistant 3.17
缓解步骤：更新至媒体库助手插件版本 3.17 或更高版本。

User Profile Picture  – 访问控制中断

安全风险：低
漏洞利用级别：需要作者或更高级别的身份验证。
漏洞：访问控制损坏
CVE：CVE-2024-5639
安装数量：60,000+
受影响的软件：用户个人资料图片 <= 2.6.1
修补版本：用户个人资料图片 2.6.2
缓解步骤：更新至用户资料图片插件版本 2.6.2 或更高版本。

WP 2FA – WordPress 的双因素身份验证 – 敏感数据暴露

安全风险：低
利用程度：无需身份验证。
漏洞：敏感数据暴露
CVE：CVE-2022-44587
安装数量：60,000+
受影响的软件：WP 2FA <= 2.6.3
修补版本：WP 2FA 2.6.4
缓解步骤：更新到 WP 2FA 插件版本 2.6.4 或更高版本。

ConvertKit – 访问控制损坏

安全风险：低
利用程度：无需身份验证。
漏洞：访问控制损坏
CVE：CVE-2024-3961
安装数量：50,000+
受影响的软件：ConvertKit <= 2.4.9
修补版本：ConvertKit 2.4.9.1
缓解步骤：更新至 ConvertKit 插件版本 2.4.9.1 或更高版本。

Elementor 的 Sina 扩展 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2024-5036
安装数量：50,000+
受影响的软件：Sina Extension for Elementor <= 3.5.4
修补版本：Sina Extension for Elementor 3.5.5
缓解步骤：将 Elementor 插件的 Sina Extension 更新至 3.5.5 或更高版本。

Ultimate Blocks – WordPress Blocks 插件 – 跨站点脚本 (XSS)

安全风险：中等
漏洞利用级别：需要贡献者或更高级别的身份验证。
漏洞：跨站点脚本 (XSS)
 CVE：CVE-2023-6692
安装数量：50,000+
受影响的软件：Ultimate Blocks <= 3.1.0
修补版本：Ultimate Blocks 3.1.1
缓解步骤：更新到 Ultimate Blocks 插件版本 3.1.1 或更高版本。

WP Maintenance – 绕过漏洞

安全风险：低
利用程度：无需身份验证。
漏洞：绕过漏洞
CVE：CVE-2024-0789
安装数量：50,000+
受影响的软件：WP Maintenance <= 6.1.9.2
修补版本：WP Maintenance 6.1.9.3
缓解步骤：更新至 WP Maintenance 插件版本 6.1.9.3 或更高版本。