2024 年 6 月 17 日至 6 月 23 日每周 WordPress 漏洞报告

每周 WordPress 漏洞报告

介绍

欢迎阅读 WP-Firewall 每周漏洞报告，该报告致力于让 WordPress 网站管理员了解最新情况并保证其安全。本报告涵盖了 2024 年 6 月 17 日至 2024 年 6 月 23 日期间的内容，重点介绍了 WordPress 插件和主题中的最新安全漏洞。及时了解这些报告对于维护网站的完整性和保护用户数据免受潜在威胁至关重要。

WordPress 是全球最受欢迎的内容管理系统之一，为数百万个网站提供支持。然而，这种受欢迎程度也使其成为黑客和网络犯罪分子的主要目标。通过了解和解决每周发现的漏洞，您可以确保您的网站免受恶意攻击。

主要漏洞概述

在此期间，137 个 WordPress 插件和 14 个 WordPress 主题共披露了 185 个漏洞。其中，103 个漏洞已修复，82 个漏洞尚未修复。漏洞按严重程度分类如下：

• 批判的：17 个漏洞
• 高的：24 个漏洞
• 中等的：144 个漏洞

值得注意的漏洞

1. InstaWP Connect <= 0.1.0.38严重性：严重 (10.0)
   CVE 编号漏洞：CVE-2024-37228
   类型：未经认证的任意文件上传
   补丁状态：已修补
2. WishList 成员 X <= 3.25.1严重性：严重 (10.0)
   CVE 编号漏洞：CVE-2024-37112
   类型：未经身份验证的任意 SQL 执行
   补丁状态：未打补丁
3. WP 酒店预订 <= 2.1.0严重性：严重 (10.0)
   CVE 编号漏洞：CVE-2024-3605
   类型：未经身份验证的 SQL 注入
   补丁状态：未打补丁
4. 咨询 Elementor Widgets <= 1.3.0严重性：严重 (9.9)
   CVE 编号漏洞：CVE-2024-37090
   类型：经过身份验证 (Contributor+) SQL 注入
   补丁状态：已修补
5. 图像优化器、调整器和 CDN – Sirv <= 7.2.6严重性：严重 (9.9)
   CVE 编号漏洞：CVE-2024-5853
   类型: 经过身份验证 (Contributor+) 任意文件上传
   补丁状态：已修补

值得注意的漏洞的详细分析

InstaWP Connect (<= 0.1.0.38) – 任意文件上传

• 严重程度：严重 (10.0)
• CVE 编号漏洞：CVE-2024-37228
• 补丁状态：已修补

描述：此漏洞允许未经身份验证的用户将任意文件上传到服务器。这可能包括恶意脚本，一旦上传，即可执行以控制网站。

技术细节：攻击者通过向服务器发送特制的请求来利用此漏洞，该请求会绕过身份验证检查并允许文件上传。一旦上传恶意文件，就可以执行各种恶意活动，例如注入恶意软件、破坏网站或窃取敏感信息。

影响：如果被利用，此漏洞可能导致网站完全被接管。攻击者可以获得管理权限、操纵网站内容、窃取用户数据并部署其他恶意软件。

减轻：为了降低这种风险，必须将 InstaWP Connect 插件更新到已修补漏洞的最新版本。此外，实施强大的安全插件来扫描和阻止可疑文件上传可以提供额外的保护。

WishList 成员 X (<= 3.25.1) – SQL 执行

• 严重程度：严重 (10.0)
• CVE 编号漏洞：CVE-2024-37112
• 补丁状态：未打补丁

描述：此漏洞允许未经身份验证的用户在数据库上执行任意 SQL 命令。这可用于检索、修改或删除数据，在某些情况下，还可获得管理访问权限。

技术细节：当用户输入未经过适当清理时，就会出现 SQL 注入漏洞，从而允许攻击者操纵 SQL 查询。通过注入恶意 SQL 代码，攻击者可以更改查询执行过程，获得对数据的未经授权的访问权限并执行破坏数据库完整性的操作。

影响：利用此漏洞可能导致数据泄露、数据完整性受损以及未经授权访问敏感信息。攻击者可以操纵用户数据、窃取凭证，并可能完全控制该网站。

减轻：在发布补丁之前，管理员应考虑禁用 WishList Member X 插件或使用 Web 应用程序防火墙 (WAF) 来阻止恶意 SQL 查询。还建议定期监控数据库活动以发现异常行为。

漏洞的影响

这些漏洞对 WordPress 网站构成了重大风险，包括：

• 数据泄露：未经授权访问敏感数据可能会导致严重泄露，危及用户信息。
• 网站污损：攻击者可以更改网站内容，损害信誉和用户信任。
• 恶意软件感染：漏洞可被利用来注入恶意软件，并可能传播给用户和其他网站。

真实世界的例子

1. InstaWP Connect 文件上传漏洞：一个严重漏洞允许未经身份验证的用户上传任意文件，这可能导致整个网站被接管。如果不修补此漏洞，可能会导致该网站被用来传播恶意软件。
2. WishList 成员 SQL 注入：此漏洞使攻击者可以执行任意 SQL 命令，从而存在暴露用户数据的风险，并且有可能更改数据库记录。

缓解措施和建议

为了缓解这些漏洞，WordPress 网站管理员应该：

1. 定期更新插件和主题：确保所有插件和主题都更新到最新版本。修补的漏洞通常包含在更新中。
2. 实施安全插件：利用安全插件监控网站活动并提供额外的保护层。
3. 定期备份：定期备份您的网站，以便在受到攻击时快速恢复。
4. 启用双因素身份验证：通过为所有用户帐户启用双因素身份验证 (2FA) 来加强登录安全性。

循序渐进指南

1. 更新插件/主题：导航到 WordPress 仪表板。
   转至 更新.
   选择并更新所有插件和主题。
2. 安装安全插件：搜索并安装信誉良好的安全插件，如WP-Firewall。
   配置设置以获得最佳保护。
3. 设置定期备份：选择可靠的备份插件。
   安排定期备份并将其存储在安全的地方。
4. 启用 2FA：安装双因素身份验证插件。
   按照设置说明为所有用户帐户启用 2FA。

深入分析具体漏洞

InstaWP Connect (<= 0.1.0.38) – 任意文件上传

• 严重程度： 批判的
• 机制：此漏洞允许未经身份验证的用户将任意文件上传到服务器，从而可能执行恶意代码。
• 影响：利用此漏洞可以导致攻击者完全控制网站。
• 技术细节：攻击者可以通过向服务器发送精心设计的请求、绕过身份验证机制并获得上传和执行任意文件的权限来利用此漏洞。这可能导致网站的完整性和可用性完全受损。

WishList 成员 X (<= 3.25.1) – SQL 执行

• 严重程度： 批判的
• 机制：此缺陷使未经身份验证的用户能够执行任意 SQL 查询，从而暴露和修改数据库内容。
• 影响：损害数据完整性和机密性。
• 技术细节：通过 SQL 注入，攻击者可以操纵对数据库的查询。这可以让他们检索敏感信息、更改或删除数据以及执行管理操作，从而可能导致整个网站被攻陷。

历史对比

将本周的数据与之前的报告进行比较可以发现：

• 中等严重程度漏洞有所增加，表明威胁趋于不那么严重，但仍然十分严重。
• 在广泛使用的插件中不断发现严重漏洞，强调需要不断保持警惕。
• SQL 注入和任意文件上传漏洞的显著模式，突出显示了需要强大防御的常见攻击媒介。

保持知情的重要性

漏洞发现的频率和严重性凸显了保持知情和主动性的重要性。定期更新您对最新威胁的了解并实施推荐的安全措施可以显著增强您网站的防御能力。

未来趋势和预测

根据目前的趋势，很可能：

• 随着攻击者找到新方法来利用不太严重的漏洞，中等严重程度的漏洞的数量将继续增加。
• 开发人员将越来越注重保护插件和主题免受 SQL 注入和任意文件上传等常见漏洞的攻击。
• 安全工具和插件将不断发展，提供更全面的保护，集成先进的威胁检测和响应功能。

结论

对于 WordPress 网站管理员来说，了解最新漏洞至关重要。定期更新、安全实践和意识可以显著降低漏洞利用风险。注册 WP-Firewall 免费计划 接收每周报告和实时通知，确保您的网站保持安全。

有关详细信息和更新，请访问博客 WP-Firewall.

附录 – 2024 年 6 月第四周报告的 WordPress 漏洞列表。