WordPress漏洞报告（2024年5月6日至2024年5月12日）

介绍

在不断发展的 WordPress 安全环境中，及时了解最新漏洞对于维护网站的完整性至关重要。在 WP-Firewall，我们致力于提供一流的安全解决方案来保护您的 WordPress 网站。本周，我们深入研究了 2024 年 5 月 6 日至 2024 年 5 月 12 日报告的最新漏洞，以及 WP-Firewall 如何帮助您有效缓解这些风险。

漏洞概述

上周，142 个 WordPress 插件和 6 个 WordPress 主题中披露了惊人的 180 个漏洞。这凸显了 WordPress 网站所有者面临的持续且不断变化的威胁。这些漏洞的严重程度从低到严重不等，其中大量漏洞已得到修补。

上周未修补和已修补的漏洞总数

– 已修补： 133
– 未打补丁: 47

上周按 CVSS 严重程度划分的漏洞总数

– 低严重性： 1
– 中等严重性： 144
– 高严重性： 17
– 严重程度： 18

上周按 CWE 类型划分的漏洞总数

– 跨站脚本（XSS）：82
– 跨站请求伪造 (CSRF)：23
– 缺少授权：18
– PHP 远程文件包含：8
– 无限制文件上传：8
– 信息暴露：7
– SQL注入：5
– 代码注入：4
– 服务器端请求伪造 (SSRF)：3
– 身份验证绕过：2
– 其他：12

值得注意的漏洞

以下是上周报告的一些严重漏洞：

1. WP Photo Album Plus <= 8.7.01.001 – 未经身份验证的任意文件上传

– CVSS 评级：严重 (10.0)
– CVE-ID：CVE-2024-31377
- 补丁状态：已修补
– 研究员：隐形直升机

2. canvasio3D Light <= 2.5.0 – 经过身份验证的（Subscriber+）任意文件上传

– CVSS 评级：严重（9.9）
– CVE-ID：CVE-2024-34411
- 补丁状态：未补丁
– 研究员：隐形直升机

3. WooCommerce 货运追踪 <= 3.8.2 – 经过身份验证 (订阅者+) SQL 注入

– CVSS 评级：严重（9.9）
– CVE-ID：CVE-2024-34412
- 补丁状态：已修补
– 研究员：Le Ngoc Anh

4. Edwiser Bridge <= 3.0.5 – 身份验证绕过

– CVSS 评级：严重（9.8）
– CVE-ID：CVE-2024-4186
- 补丁状态：已修补
– 研究员：Márton István

5. Hotel Booking Lite <= 4.11.1 – 未经身份验证的 PHP 对象注入

– CVSS 评级：严重（9.8）
– CVE-ID：CVE-2024-4413
- 补丁状态：已修补
– 研究员：Trinh Vu (Sonicrrrr)

WP-Firewall 如何提供帮助

实时保护

WP-Firewall 针对已知漏洞提供实时保护。我们的防火墙不断更新，以阻止最新的威胁，确保即使发现漏洞，您的网站也保持安全。

漏洞扫描

我们的高级漏洞扫描程序可识别您的 WordPress 安装中的潜在安全风险。通过定期扫描您的站点，WP-Firewall 可帮助您领先于威胁并采取主动措施来保护您的站点。

自动打补丁

使用 WP-Firewall，您可以自动执行已知漏洞的修补过程。这可确保您的网站始终保持最新的安全补丁，从而降低被利用的风险。

详细的安全报告

WP-Firewall 提供详细的安全报告，突出显示潜在的漏洞并提供可行的建议。这些报告可帮助您了解站点的安全状况并采取必要的措施来降低风险。

错误赏金计划

我们鼓励安全研究人员通过我们的错误赏金计划负责任地披露漏洞。这不仅有助于我们改进安全措施，还奖励研究人员的宝贵贡献。

结论

随时了解最新漏洞对于维护 WordPress 网站的安全至关重要。在 WP-Firewall，我们致力于提供全面的安全解决方案，以保护您的站点免受不断变化的威胁。通过利用我们的实时保护、漏洞扫描、自动修补和详细的安全报告，您可以确保您的 WordPress 网站保持安全并能够抵御潜在的攻击。

加入 WP 防火墙社区

要及时了解最新的 WordPress 安全新闻和漏洞报告，请加入我们的社区。订阅我们的时事通讯并在社交媒体上关注我们，以便从我们的安全专家那里获得及时的更新和见解。
- 订阅我们的新闻： 在此注册
- 在推特上关注我们： @WPFirewall
– 加入我们的 脸书专页 和社区： WP-防火墙用户组
– 与我们联系 领英

最后的想法

WordPress 生态系统庞大且充满活力，新的插件和主题不断开发。虽然这促进了创新和功能，但也为潜在的安全漏洞开辟了途径。在 WP-Firewall，我们的使命是提供强大的安全解决方案，使 WordPress 网站所有者能够专注于其核心活动，而无需担心安全威胁。

通过随时了解情况并利用 WP-Firewall 提供的全面安全功能，您可以确保您的 WordPress 网站保持安全、可靠且能够抵御不断变化的网络威胁。

请记住，安全不是一项一次性任务，而是一个持续的过程。定期更新插件和主题、进行漏洞扫描以及随时了解最新的安全趋势是维护安全 WordPress 网站的关键步骤。

感谢您信任 WP-Firewall 作为您的 WordPress 安全合作伙伴。我们可以共同为每个人创建一个更安全的 WordPress 生态系统。

分享你的意见

我们重视您的反馈，并很乐意听到您对本周漏洞报告的想法。请随时在下面发表评论或通过我们的联系页面与我们联系。

保持安全！

—

作者：WP-防火墙安全团队
日期：2024 年 5 月 16 日

—

免责声明：本报告中提供的信息基于发布时的最新数据。 WP-Firewall 对根据本报告中提供的信息采取的任何行动不承担任何责任。始终确保您的 WordPress 网站定期更新和安全。

—
收件箱中的 WordPress 安全研究突破

将最新的 WordPress 安全研究和更新直接发送到您的收件箱，保持领先地位。今天订阅我们的时事通讯！

—

隐私政策

有关我们如何使用cookies和您的数据的更多信息，请查看我们的[隐私政策](#)。

—

评论政策

所有评论在发布前都会经过审核。不恰当或偏离主题的评论可能不会被批准。

—

感谢您阅读 WP-Firewall 每周 WordPress 漏洞报告。保持安全并保持警惕！

—

接触 我们:

如有任何疑问或支持，请访问我们的 联系页面.

—

WP-Firewall – 您值得信赖的 WordPress 安全合作伙伴

—

通过遵循指南并利用 WP-Firewall 提供的工具，您可以确保您的 WordPress 网站保持安全并能够抵御潜在威胁。随时了解情况、保持安全，并继续满怀信心地构建和发展您的 WordPress 网站。