一月份共有 22 個外掛,具有資安相關的漏洞,若有使用名單中的外掛,建議各站長立即對該外掛執行更新,或是尋找其它外掛取代,避免因為漏洞的問題而造成網站停擺。

名單如下:

1. Contact Form 7 Database Addon – CFDB7
相關漏洞: Insufficient input sanitization leading to authenticated SQL injection (SQLi)
已修正版本: 1.2.5.4

2. Doneren met Mollie
相關漏洞: Authenticated information disclosure vulnerability
已修正版本: 2.8.5

3. Digital Climate Strike WP
相關漏洞: Redirect to malicious websites
已修正版本: 未知

4. Under Construction
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 3.86

5. 123ContactForm
相關漏洞: Arbitrary file upload, arbitrary post creation, and validation bypass via plugin verification
已修正版本: 未知 – 外掛已關閉

6. 301 Redirects – Easy Redirect Manager
相關漏洞: Authenticated SQL injection (SQLi)
已修正版本: 2.5.1

7. Stockdio Historical Chart

相關漏洞: Cross-site scripting (XSS)
已修正版本: 2.8.1

8. FV Flowplayer Video Player
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 7.4.38.727

9. Simple Job Board
相關漏洞: Authenticated directory traversal
已修正版本: 未知

10. Orbit Fox by ThemeIsle
相關漏洞: Authenticated stored cross-site scripting (XSS) & authenticated privilege escalation
已修正版本: 2.10.3

11. Elementor Contact Form DB
相關漏洞: Cross-site request forgery (CSRF) via backend admin pages
已修正版本: 1.6

12. Custom Global Variables
相關漏洞: Stored cross-site scripting (XSS)
已修正版本: 未知

13. WP24 Domain Check
相關漏洞: Stored cross-site scripting (XSS)
已修正版本: 未知

14. Stripe Payments
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 2.0.40

15. WP-Paginate
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 2.1.4

16. Contact Form Submissions
相關漏洞: Authenticated double query SQL injection (SQLi) vulnerability
已修正版本: 未知

17. Site Offline Or Coming Soon Or Maintenance Mode
相關漏洞: Multiple cross-site request forgery (CSRF) vulnerabilities
已修正版本: 1.4.4

18. Newsletter Manager
相關漏洞: Unauthenticated insecure deserialization vulnerability
已修正版本: 未知 – 外掛已關閉

19. Internal Links Manager
相關漏洞: Stored cross-site scripting (XSS) and cross-site request forgery (CSRF), and authenticated shell upload
已修正版本: 未知 – 外掛已關閉

20. Thumbnail carousel slider
相關漏洞: Stored cross-site scripting (XSS) and cross-site request forgery (CSRF), and authenticated shell upload
已修正版本: 1.0.1

21. LiteSpeed Cache
相關漏洞: Authenticated Stored Cross-Site Scripting (XSS)
已修正版本: 3.6.1

22. Adning Advertising – Professional, All In One Ad Manager for WordPress
相關漏洞: Arbitrary File Upload vulnerability
已修正版本: 1.5.6

參考來源:
WebARX – WordPress Vulnerability News, January 2021