一月份共有 22 個外掛,具有資安相關的漏洞,若有使用名單中的外掛,建議各站長立即對該外掛執行更新,或是尋找其它外掛取代,避免因為漏洞的問題而造成網站停擺。
名單如下:
1. Contact Form 7 Database Addon – CFDB7
相關漏洞: Insufficient input sanitization leading to authenticated SQL injection (SQLi)
已修正版本: 1.2.5.4
2. Doneren met Mollie
相關漏洞: Authenticated information disclosure vulnerability
已修正版本: 2.8.5
3. Digital Climate Strike WP
相關漏洞: Redirect to malicious websites
已修正版本: 未知
4. Under Construction
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 3.86
5. 123ContactForm
相關漏洞: Arbitrary file upload, arbitrary post creation, and validation bypass via plugin verification
已修正版本: 未知 – 外掛已關閉
6. 301 Redirects – Easy Redirect Manager
相關漏洞: Authenticated SQL injection (SQLi)
已修正版本: 2.5.1
7. Stockdio Historical Chart
相關漏洞: Cross-site scripting (XSS)
已修正版本: 2.8.1
8. FV Flowplayer Video Player
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 7.4.38.727
9. Simple Job Board
相關漏洞: Authenticated directory traversal
已修正版本: 未知
10. Orbit Fox by ThemeIsle
相關漏洞: Authenticated stored cross-site scripting (XSS) & authenticated privilege escalation
已修正版本: 2.10.3
11. Elementor Contact Form DB
相關漏洞: Cross-site request forgery (CSRF) via backend admin pages
已修正版本: 1.6
12. Custom Global Variables
相關漏洞: Stored cross-site scripting (XSS)
已修正版本: 未知
13. WP24 Domain Check
相關漏洞: Stored cross-site scripting (XSS)
已修正版本: 未知
14. Stripe Payments
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 2.0.40
15. WP-Paginate
相關漏洞: Authenticated stored cross-site scripting (XSS)
已修正版本: 2.1.4
16. Contact Form Submissions
相關漏洞: Authenticated double query SQL injection (SQLi) vulnerability
已修正版本: 未知
17. Site Offline Or Coming Soon Or Maintenance Mode
相關漏洞: Multiple cross-site request forgery (CSRF) vulnerabilities
已修正版本: 1.4.4
18. Newsletter Manager
相關漏洞: Unauthenticated insecure deserialization vulnerability
已修正版本: 未知 – 外掛已關閉
19. Internal Links Manager
相關漏洞: Stored cross-site scripting (XSS) and cross-site request forgery (CSRF), and authenticated shell upload
已修正版本: 未知 – 外掛已關閉
20. Thumbnail carousel slider
相關漏洞: Stored cross-site scripting (XSS) and cross-site request forgery (CSRF), and authenticated shell upload
已修正版本: 1.0.1
21. LiteSpeed Cache
相關漏洞: Authenticated Stored Cross-Site Scripting (XSS)
已修正版本: 3.6.1
22. Adning Advertising – Professional, All In One Ad Manager for WordPress
相關漏洞: Arbitrary File Upload vulnerability
已修正版本: 1.5.6