锐安盾-网站安全加速服务
最新活动
产品
解决方案
客户支持
合作与生态
站长工具
了解锐成

中国站

联系我们

400-002-9968

售前咨询

售后服务

注册 登录
racent登录

SSL 证书

数字证书

安全运维

域名

企业服务

品牌证书

SSL 证书
SSL自动化运维服务
01

CLM-SSL证书

SSL证书自动化运维服务

 02

锐安盾

网站加速和安全防护

 03

Plesk

全球领先服务器控制面板

 04

cPanel

全球领先Linux服务器面板

 05

SiteLock

海外网站加速和安全防护
01

域名注册

上百域名后缀可供选择

 02

域名转入

转入域名到锐成,管理更安全

 03

域名回购

委托回购已被注册域名

 04

国别域名注册

企业出海域名品牌保护必选

热门域名

01

企业邮箱

安全邮箱服务,轻松收发全球邮件

 02

短信

将短信迅速送达全球

 03

WHMCS

简单易用的云服务销售管理系统

解决方案

锐成行业解决方案,让您轻松解决企业上云痛点,加速云上应用构建。

客户支持

无论何时何地,锐成各领域专家就在您身边,帮助您解决上云问题。

文档与工具

合作与生态

锐成云携手合作伙伴,共创云上安全生态,合作共赢

合作推广

天翼云活动专场

站长工具

锐成免费站长工具,让网站管理运维更简单。

前往站长工具 >

了解锐成

作为全球领先的云基础安全服务公司,我们坚持让安全成为公共服务,助力全球客户加速价值创新。

前往锐成信息 >

关注推荐

锐成信息

扫描关注 锐成公众号

市场商务合作

电话:02155669186

博客 > SingCERT 警告:在多个 WordPress 插件中发现严重漏洞

SingCERT 警告:在多个 WordPress 插件中发现严重漏洞

  • 标签:
  • WordPress
  • 安全漏洞
  • 漏洞缓解策略

浏览量:588次评论:0次

作者:锐成网络整理时间:2024-05-28 17:45:16

近日,新加坡计算机应急响应中心(SingCERT)报告了9个重要的 WordPress 插件漏洞,这些WordPress插件漏洞被视为关键漏洞,可能允许恶意行为者进行未经授权的访问和利用,会对网站安全构成重大风险。对此,SingCERT发出了严重警告,并分享了缓解策略,以避免被威胁行为者利用,以下是相关内容。

SingCERT 警告:在多个 WordPress 插件中发现严重漏洞

一、SingCERT发现的多个WordPress插件漏洞

SingCERT发现了这些关键的WordPress漏洞,包括允许任意文件上传和SQL注入的漏洞。这些漏洞如下:

1、WordPress Copymatic

AI内容编写器和生成器:利用此漏洞(CVE-2024-31351),未经身份验证的攻击者可以将任意文件上传到网站,从而可能损害其完整性。CVSSv3.1的最高得分为10分(满分10分),这突出了该漏洞的严重性,影响了1.7之前的插件版本。

2、饼图寄存器

社交网站登录(附加组件):通过CVE-2024-4544识别,此插件漏洞允许绕过身份验证,可能导致对用户帐户的未经授权访问。CVSSv3.1的得分为9.8(满分10分),1.7.8之前的插件版本会受到影响。

3、哈希表单拖放表单生成器

Hash Form Drag & Drop Form Builder 存在漏洞 (CVE-2024-5084),未经身份验证的攻击者可上传任意文件,从而在受影响的网站上远程执行代码。该漏洞的严重性为 9.8(满分 10 分),影响 1.1.1 之前的插件版本。

4、国家 州 城市下拉 CF7 插件

在此插件中发现的漏洞 (CVE-2024-3495) 允许 SQL 注入,可能会危及网站数据库中存储的敏感数据。该漏洞的评级为 9.8(满分 10 分),2.7.3 之前的版本受影响。

5、用于 Elementor 的 WPZOOM 附加组件(模板、小工具)

该漏洞(CVE-2024-5147)可让未经身份验证的攻击者在服务器上上传和执行任意文件,对网站安全构成严重威胁。1.1.38 之前版本的插件存在漏洞,CVSSv3.1 得分为 9.8(满分 10 分)。

6、商业目录插件

Easy Listing Directories: 该插件存在 SQL 注入 (CVE-2024-4443) 漏洞,未经身份验证的攻击者可利用该漏洞从网站数据库中提取敏感信息。该插件的 CVSSv3.1 得分为 9.8(满分 10 分),6.4.3 之前的版本存在风险。

7、UserPro 插件

该漏洞(CVE-2024-35700)可让攻击者提升权限,从而完全控制受影响的网站。该插件 5.1.9 之前的版本受影响,CVSSv3.1 得分为 9.8(满分 10 分)。

8、Fluent Forms 联系表单插件

此插件的漏洞版本 (CVE-2024-2771) 允许权限升级,给网站安全带来重大风险。5.1.17 之前的版本受到影响,CVSSv3.1 得分为 9.8(满分 10 分)。值得注意的是,该漏洞正被积极利用。

9、网络目录免费插件

此插件漏洞 (CVE-2024-3552) 允许未经身份验证的攻击者通过 SQL 注入直接与网站数据库交互,可能导致数据被盗。1.7.0 之前的版本受影响,CVSSv3.1 得分为 9.3(满分 10 分)。

二、WordPress漏洞的缓解策略

强烈建议使用这些WordPress插件受影响版本的用户和管理员立即更新到最新版本,以缓解这些漏洞,并保护他们的网站免受潜在的攻击。

有关缓解这些WordPress插件漏洞的更多详细信息和指导,用户可以参考开发人员提供的相应插件文档和更新。此外,采用虚拟修补等安全措施可以在等待更新时提供临时保护。

要确保 WordPress 网站安全,需要采取积极主动的措施,包括定期更新和监控漏洞。通过随时了解情况并及时解决安全问题,网站所有者可以有效保护其在线资产免受潜在威胁。

来源:thecyberexpress
资料链接:https://thecyberexpress.com/wordpress-plugin-vulnerabilities/

相关阅读:如何确保网站安全?确保网站安全的17种方法

上一篇:SQL知识:SQL开窗函数定义、用法及示例
下一篇:零信任安全剖析及实践应用思考

相关文章推荐

我的评论

还未登录?点击登录

微信扫码沟通
微信扫码沟通

微信扫码沟通

售前咨询
售前支持
提前了解产品优势
合作
代理合作
申请成为合作伙伴
售后
售后支持
解决产品售后问题
return head