WordPress漏洞報告（2024年5月6日至2024年5月12日）

介紹

在不斷發展的 WordPress 安全環境中，隨時了解最新漏洞對於維護網站的完整性至關重要。在 WP-Firewall，我們致力於提供一流的安全解決方案來保護您的 WordPress 網站。本週，我們深入研究了 2024 年 5 月 6 日至 2024 年 5 月 12 日報告的最新漏洞，以及 WP-Firewall 如何幫助您有效緩解這些風險。

漏洞概述

上週，142 個 WordPress 外掛和 6 個 WordPress 主題中揭露了驚人的 180 個漏洞。這凸顯了 WordPress 網站所有者面臨的持續且不斷變化的威脅。這些漏洞的嚴重程度從低到嚴重不等，其中大量漏洞已修補。

上週未修補和已修補的漏洞總數

– 已修補： 133
– 未打補丁: 47

上週以 CVSS 嚴重程度劃分的漏洞總數

– 低嚴重性： 1
– 中等嚴重性： 144
– 高嚴重性： 17
– 嚴重程度： 18

上週按 CWE 類型劃分的漏洞總數

– 跨站腳本（XSS）：82
– 跨站請求偽造 (CSRF)：23
– 缺少授權：18
– PHP 遠端檔案包含：8
– 無限檔上傳：8
– 資訊暴露：7
– SQL注入：5
– 程式碼注入：4
– 伺服器端請求偽造 (SSRF)：3
– 身份驗證繞過：2
– 其他：12

值得注意的漏洞

以下是上週報告的一些嚴重漏洞：

1. WP相簿Plus <= 8.7.01.001 – 未經身份驗證的任一文件上傳

– CVSS 評級：嚴重 (10.0)
– CVE-ID：CVE-2024-31377
- 補丁狀態：已修補
– 研究者：隱形直升機

2. canvasio3D Light <= 2.5.0 – 經過驗證的（訂閱者+）任意檔案上傳

– CVSS 評級：嚴重（9.9）
– CVE-ID：CVE-2024-34411
- 補丁狀態：未補丁
– 研究者：隱形直升機

3. WooCommerce <= 3.8.2 的出貨追蹤 – 經過驗證的（訂閱者+）SQL 注入

– CVSS 評級：嚴重（9.9）
– CVE-ID：CVE-2024-34412
- 補丁狀態：已修補
– 研究員：Le Ngoc Anh

4. Edwiser Bridge <= 3.0.5 – 身份驗證繞過

– CVSS 評級：嚴重（9.8）
– CVE-ID：CVE-2024-4186
- 補丁狀態：已修補
– 研究員：Márton István

5. Hotel Booking Lite <= 4.11.1 – 未經身份驗證的 PHP 物件注入

– CVSS 評級：嚴重（9.8）
– CVE-ID：CVE-2024-4413
- 補丁狀態：已修補
– 研究者：Trinh Vu (Sonicrrrr)

WP-Firewall 如何提供協助

即時保護

WP-Firewall 針對已知漏洞提供即時保護。我們的防火牆不斷更新，以阻止最新的威脅，確保即使發現漏洞，您的網站也保持安全。

漏洞掃描

我們的進階漏洞掃描程式可識別您的 WordPress 安裝中的潛在安全風險。透過定期掃描您的站點，WP-Firewall 可協助您領先於威脅並採取主動措施來保護您的網站。

自動打補丁

使用 WP-Firewall，您可以自動執行已知漏洞的修補過程。這可確保您的網站始終保持最新的安全補丁，從而降低被利用的風險。

詳細的安全報告

WP-Firewall 提供詳細的安全性報告，突顯潛在的漏洞並提供可行的建議。這些報告可協助您了解網站的安全狀況並採取必要的措施來降低風險。

錯誤賞金計劃

我們鼓勵安全研究人員透過我們的錯誤賞金計畫負責任地揭露漏洞。這不僅有助於我們改善安全措施，也獎勵研究人員的寶貴貢獻。

結論

隨時了解最新漏洞對於維護 WordPress 網站的安全至關重要。在 WP-Firewall，我們致力於提供全面的安全解決方案，以保護您的網站免受不斷變化的威脅。透過利用我們的即時保護、漏洞掃描、自動修補和詳細的安全報告，您可以確保您的 WordPress 網站保持安全並能夠抵禦潛在的攻擊。

加入 WP 防火牆社區

若要隨時了解最新的 WordPress 安全新聞和漏洞報告，請加入我們的社群。訂閱我們的電子報並在社交媒體上關注我們，以便從我們的安全專家那裡獲得及時的更新和見解。
- 訂閱我們的新聞： 在此註冊
- 在推特上關注我們： @WPFirewall
– 加入我們的 臉書專頁 和社區： WP-防火牆用戶群組
– 與我們聯繫 領英

最後的想法

WordPress 生態系統龐大且充滿活力，新的外掛和主題不斷開發。雖然這促進了創新和功能，但也為潛在的安全漏洞開闢了途徑。在 WP-Firewall，我們的使命是提供強大的安全解決方案，使 WordPress 網站所有者能夠專注於其核心活動，而無需擔心安全威脅。

透過隨時了解情況並利用 WP-Firewall 提供的全面安全功能，您可以確保您的 WordPress 網站保持安全、可靠且能夠抵禦不斷變化的網路威脅。

請記住，安全不是一項一次性任務，而是持續的過程。定期更新外掛程式和主題、進行漏洞掃描以及隨時了解最新的安全趨勢是維護安全 WordPress 網站的關鍵步驟。

感謝您信任 WP-Firewall 作為您的 WordPress 安全合作夥伴。我們可以共同為每個人創建一個更安全的 WordPress 生態系統。

分享你的意見

我們重視您的回饋，並很樂意聽到您對本週漏洞報告的想法。請隨時在下面發表評論或透過我們的聯絡頁面與我們聯絡。

保持安全！

—

作者：WP-防火牆安全團隊
日期：2024 年 5 月 16 日

—

免責聲明：本報告中提供的資訊是基於發佈時的最新數據。 WP-Firewall 對根據本報告中提供的資訊採取的任何行動不承擔任何責任。始終確保您的 WordPress 網站定期更新和安全性。

—
收件匣中的 WordPress 安全研究突破

將最新的 WordPress 安全性研究和更新直接發送到您的收件匣，保持領先地位。今天就訂閱我們的電子報！

—

隱私權政策

有關我們如何使用 cookie 和您的資料的更多信息，請查看我們的[隱私權政策](#)。

—

評論政策

所有評論在發布前都會經過審核。不恰當或偏離主題的評論可能不會被批准。

—

感謝您閱讀 WP-Firewall 每週 WordPress 漏洞報告。保持安全並保持警惕！

—

接觸 我們:

如有任何疑問或支持，請訪問我們的 聯絡頁面.

—

WP-Firewall – 您值得信賴的 WordPress 安全合作夥伴

—

透過遵循指南並利用 WP-Firewall 提供的工具，您可以確保您的 WordPress 網站保持安全並能夠抵禦潛在威脅。隨時了解情況、保持安全，並繼續充滿信心地建立和發展您的 WordPress 網站。