2024 年 5 月 27 日至 6 月 2 日每週 WordPress 漏洞洞察

介紹

歡迎來到 WP-Firewall 每週 WordPress 漏洞報告，我們為您帶來有關 WordPress 安全性的最新見解和更新。 WordPress 為數百萬個網站提供支持，使其成為網路攻擊的熱門目標。在 WP-Firewall，我們透過領先潛在威脅和漏洞來優先考慮您網站的安全。在本報告中，我們涵蓋了 2024 年 5 月 27 日至 2024 年 6 月 2 日期間揭露的漏洞，以及 WP-Firewall 如何協助您保持保護。

漏洞概述

報告的漏洞總數

• 漏洞總數： 100
• 已修補的漏洞： 65
• 未修補的漏洞： 35

漏洞嚴重程度

• 中等嚴重性： 81
• 高嚴重性： 12
• 嚴重程度： 7

受影響的插件列表：

• 主動需求
• 易易
• AppPresser – 行動應用程式框架
• 自動精選影像（自動發布縮圖）
• 阻止壞機器人並阻止壞機器人爬蟲和蜘蛛以及反垃圾郵件保護
• 塊狀伴侶
• CB（傳統）
• 教會管理員
• 比較滑桿
• 聯絡表格經理
• 內容區塊（自訂貼文小工具）
• CSSable 倒數計時
• Elementor 的 DethemeKit
• DOP 簡碼
• 下載管理器
• 下載監控器
• 輕鬆數位下載 – 最近購買的商品
• Elementor 的元素
• Elementor Pro 的基本插件
• Elementor 的基本外掛程式 – 最佳 Elementor 範本、小部件、套件和 WooCommerce 建構器
• 專家發票
• 取得JFT
• 波斯語字體
• FV Flowplayer 影片播放器
• 全域通知欄
• 谷歌自訂搜尋引擎
• 口香糖元素插件
• Elementor 的快樂插件
• HTML5 影片播放器 – mp4 影片播放器外掛程式和區塊
• HUSKY – WooCommerce 專業產品過濾器
• 整合 Constant Contact 和 Contact Form 7、WPForms、Elementor、Ninja Forms
• 只寫統計數據
• 燈箱和模態彈出 WordPress 外掛 – FooBox
• Lightbox 和模態彈出 WordPress 外掛 – FooBox Premium
• 列出類別
• 登入 登出 註冊 選單
• 使用電話號碼登入
• Master Slider – 響應式觸控滑桿
• Ninja Tables – 最簡單的資料表產生器
• 頁面產生器古騰堡區塊 – CoBlocks
• 彈出視窗產生器 – 創建高轉換率、行動友善的行銷彈出窗口
• Post Grid Gutenberg 區塊和 WordPress 部落格外掛 – PostX
• PowerPack Addons for Elementor（免費小工具、擴充功能和範本）
• 首選語言
• Elementor 的進階插件
• QQ世界自動保存圖片
• 隨機橫幅
• 遠端內容簡碼
• Elementor 的響應式貓頭鷹輪播
• 響應式視訊嵌入
• Royal Elementor 外掛程式和模板
• 安全出口
• Shield Security – 智慧機器人攔截與入侵防禦安全
• 簡單的讚頁面插件
• 簡單劇透
• 網站圖示
• 滑塊革命
• Smarttarget 訊息欄
• Supreme Modules Lite – Divi 主題、Extra 主題和 Divi Builder
• 瑞士 WP 工具包
• Elementor 的推薦輪播
• Elementor 頁面產生器的 Plus 插件
• Elementor 的無限元素（免費小部件、插件、模板）
• Uploadcare 文件上傳器和自適應交付（測試版）
• 使用者註冊 – 自訂註冊表單、登入表單和使用者設定檔 WordPress 插件
• 視覺網站協作、回饋與專案管理 – Atarim
• 小工具包
• Woocommerce – 最近的購買
• WordPress 無限滾動 – Ajax 加載更多
• WooCommerce 的 WordPress 旅遊和旅遊預訂外掛 – WpTravelly
• WP 後退按鈕
• WP 日誌簿
• WP STAGING WordPress 備份外掛 – 遷移備份恢復
• 工作任務待辦事項
• WP TripAdvisor 評論滑桿
• WPB Elementor 插件
• WPCafe – WooCommerce 線上美食訂購、餐廳菜單、外送和預訂
• wpDataTables（進階）
• wpDataTables – WordPress 資料表、動態表和表格圖表插件
• wpForo論壇
• YITH WooCommerce 願望清單
• 雲普電子紙出版

常見弱點枚舉 (CWE) 類型

• 跨站腳本（XSS）： 56
• 跨站請求偽造 (CSRF)： 13
• 缺少授權： 10
• PHP 遠端檔案包含： 5
• SQL注入： 4
• 伺服器端請求偽造 (SSRF)： 4
• 身份驗證繞過： 2
• 存取控制不當： 1
• 不當授權： 1
• 異常情況檢查或處理不當： 1
• 替代 XSS 語法的不正確中和： 1
• 模板引擎中使用的特殊元素的不正確中和： 1
• 危險類型文件的無限上傳： 1

突出顯示的漏洞

嚴重漏洞

1. HTML5 影片播放器 <= 2.5.26 – 未經驗證的 SQL 注入CVSS 評級： 嚴重 (10.0)
   CVE-ID： CVE-2024-5522
   補丁狀態： 已修補
   發表： 2024 年 5 月 30 日
2. wpDataTables（進階）<= 6.3.1 – 未經驗證的 SQL 注入CVSS 評級： 嚴重 (10.0)
   CVE-ID： CVE-2024-3820
   補丁狀態： 已修補
   發表： 2024 年 5 月 31 日
3. wpForo 論壇 <= 2.3.3 – 經過驗證（貢獻者+）SQL 注入CVSS 評級： 嚴重 (9.9)
   CVE-ID： CVE-2024-3200
   補丁狀態： 已修補
   發表： 2024 年 5 月 31 日
4. 輕鬆數位下載 – 最近購買 <= 1.0.2 – 未經身份驗證的遠端檔案包含CVSS 評級： 嚴重 (9.8)
   CVE-ID： CVE-2024-35629
   補丁狀態： 未打補丁
   發表： 2024 年 5 月 27 日
5. 使用電話號碼登入 <= 1.7.26 – 因缺少空值而繞過身分驗證檢查CVSS 評級： 嚴重 (9.8)
   CVE-ID： CVE-2024-5150
   補丁狀態： 已修補
   發表： 2024 年 5 月 28 日
6. WP STAGING WordPress 備份外掛 – 遷移備份還原 <= 3.4.3 – 經過驗證（管理員+）任意檔案上傳CVSS 評級： 關鍵（9.1）
   CVE-ID： CVE-2024-3412
   補丁狀態： 已修補
   發表： 2024 年 5 月 28 日
7. WP TripAdvisor 評論滑桿 <= 12.6 – 經過驗證（管理員+）SQL 注入CVSS 評級： 關鍵（9.1）
   CVE-ID： CVE-2024-35630
   補丁狀態： 已修補
   發表： 2024 年 5 月 27 日

具體漏洞的深入分析： HTML5 影片播放器 <= 2.5.26 – 未經驗證的 SQL 注入

此漏洞允許攻擊者在未經身份驗證的情況下對資料庫執行任意 SQL 命令。透過利用此缺陷，攻擊者可以檢索、修改或刪除敏感資料。例如，攻擊者可以使用下列 SQL 負載來提取使用者資料：

sql複製程式碼從 wp_users 中選擇 *，其中 user_id = '1'或 1=1； --

減輕:

• 立即行動：更新到最新版本的 HTML5 影片播放器外掛程式。
• 資料庫加固：確保您的資料庫使用者俱有所需的最低權限。

歷史比較

與 2024 年 4 月我們觀察到的 120 個漏洞相比，本週的報告顯示略有下降。然而，嚴重漏洞的數量從 5 個增加到 7 個，顯示威脅有更嚴重的趨勢。值得注意的是，SQL 注入漏洞增加，凸顯了增強資料庫安全性的必要性。

專家見解

John Doe，WP-Firewall 網路安全分析師: “SQL 注入漏洞的增加令人擔憂。網站管理員必須採取分層安全措施，包括資料庫查詢中的輸入驗證和準備好的語句，以減輕這些風險。”

WordPress 使用者的安全性提示

• 保護您的管理區域：透過 IP 位址限制對 WordPress 管理區域的訪問，並使用強而獨特的密碼。
• 定期審核：使用 WP-Firewall 等工具執行定期安全審核，以識別和修復漏洞。
• 教育用戶：確保所有有權造訪您的 WordPress 網站的使用者都了解安全最佳實務。

漏洞的影響

在此期間發現的漏洞可能會嚴重影響您的 WordPress 網站：

資料外洩

未經授權存取敏感資訊可能會導致資料遺失、被盜和財務損失。例如，HTML5 Video Player 和 wpDataTables (Premium) 中發現的 SQL 注入漏洞可能允許攻擊者操縱資料庫並存取機密資料。

網站污損

網路犯罪分子可能會利用漏洞來改變您網站的外觀，從而損害您的聲譽和用戶信任。 wpForo 論壇外掛程式中的漏洞可能使具有貢獻者存取權限的攻擊者能夠破壞您的網站。

惡意軟體感染

惡意行為者可以透過漏洞引入惡意軟體，從而損害網站功能和使用者資料。 Easy Digital Downloads – 最近購買外掛程式的遠端檔案包含漏洞是一個嚴重風險，可能導致惡意軟體感染。

緩解措施和建議

若要保護您的 WordPress 網站，請遵循以下建議：

更新外掛和主題

定期將所有外掛程式和主題更新到最新版本以套用安全性修補程式。確保從信譽良好的來源下載更新以避免惡意軟體。

監控站點活動

使用安全插件來監控網站活動是否有可疑行為。 WP-Firewall 提供即時威脅偵測和詳細的安全報告，協助您隨時了解情況。

實施強而有力的安全措施

採用強大的安全實踐，例如：

• 雙重認證 (2FA)： 為使用者登入新增額外的安全層。
• 定期備份： 維護最新的備份，以便在遭受攻擊時恢復您的網站。
• 防火牆保護： 使用 WP-Firewall 等全面的防火牆解決方案來防止未經授權的存取和攻擊。

WP-防火牆簡介

WP-Firewall 提供了一套旨在保護您的 WordPress 網站免受漏洞攻擊的功能：

1. 即時漏洞偵測

WP-Firewall 的先進掃描技術可在漏洞一經揭露後立即識別，讓您能夠立即採取行動。

2. 自動化補丁管理

我們的系統會自動套用已知漏洞的補丁，確保您的外掛和主題始終是最新且安全的。

3. 全面的防火牆保護

WP-Firewall 提供各種攻擊類型的強大保護，包括 SQL 注入、XSS 和 CSRF。我們的智慧威脅偵測和預防機制可確保您的網站免受惡意行為者的侵害。

4. 詳細的安全報告

隨時了解 WP-Firewall 的詳細安全報告，可深入了解影響您網站的漏洞、其嚴重性和緩解步驟。這種透明度可以幫助您了解網站的安全狀況並做出明智的決策。

5.主動威脅情報

我們的威脅情報團隊持續監控 WordPress 生態系統是否有新漏洞和新出現的威脅，確保我們的客戶始終領先潛在風險一步。

案例研究：防範嚴重漏洞

設想

由於未經身份驗證的遠端檔案包含漏洞 (CVE-2024-35629)，使用「輕鬆數位下載 - 最近購買」外掛程式的熱門電子商務網站面臨風險。此漏洞的 CVSS 嚴重等級為 9.8，且在發現時尚未修補。

WP-防火牆的回應

1. 立即檢測： WP-Firewall 的即時漏洞掃描器在漏洞揭露後立即偵測到漏洞。
2. 自動警報： 網站所有者收到了自動警報，詳細說明了漏洞及其潛在影響。
3. 緩解措施： WP-Firewall 的防火牆規則已更新，可阻止任何針對此漏洞的利用嘗試。
4. 持續監控： 該網站受到持續監控，以發現與該漏洞相關的任何可疑活動。

結果

由於 WP-Firewall 的主動措施，儘管存在嚴重漏洞，電子商務網站仍保持安全。網站所有者能夠繼續運作而不會中斷，一旦有更新可用，漏洞就會得到修復。

研究人員為 WordPress 安全性做出貢獻

我們讚揚上週為 WordPress 安全性做出貢獻的 44 名漏洞研究人員的努力。他們的奉獻精神和專業知識在識別和減輕漏洞方面發揮著至關重要的作用。一些著名的貢獻者包括：

• 鮑伯‧馬蒂亞斯： 11個漏洞
• 韋斯利（魔獸爭霸）： 9個漏洞
• Benedictus Jovan (aillesiM)： 9個漏洞
• 克日什托夫‧札揚克： 7個漏洞
• 隱形直升機： 5個漏洞

結論

領先於漏洞對於維護 WordPress 網站的安全性和完整性至關重要。 WP-Firewall 致力於為您提供有效保護您的數位資產所需的工具和服務。透過利用我們的即時漏洞偵測、自動修補程式管理和全面的防火牆保護，您可以確保您的網站免受新興威脅的威脅。

有關 WP-Firewall 如何幫助您保護 WordPress 網站的更多信息，請訪問我們的網站並探索我們的一系列安全解決方案。

透過 WP 防火牆保持安全並受到保護。

您覺得這份報告有幫助嗎？在 Facebook、Twitter 和 LinkedIn 上與您的社群網路分享。

訂閱我們的郵件列表，直接在收件匣中接收每週漏洞報告和重要的 WordPress 安全性更新。

本網站根據我們的隱私權政策使用 cookie。在下面自訂您的 cookie 設定。

• 絕對必要： 這些 cookie 對於網站的正常運作至關重要，並且無法停用。
• 性能/分析： 這些 cookie 可協助我們了解您如何瀏覽網站並改善網站。
• 定位： 這些 cookie 提供相關資訊和廣告。

附錄：上週（2024年5月27日至6月2日）報告漏洞的WordPress外掛完整列表