WordPress建站教程:WordPress 漏洞报告-2023年1月25日

已于 2023-01-29 17:32:54 修改
阅读量316 收藏
点赞数
分类专栏: WordPress 文章标签: wordpress wordpress建站 wordpress漏洞报告
于 2023-01-29 17:28:52 首次发布
原文链接:https://www.eee-eee.com/blog-news/90-wordpress/1558-wordpress-vulnerability-report-20230125.html
版权

作者:六翼开源
WordPress的系统使用越来越广发,很多的大型企业开始选择利用WordPress作为主技术支撑,但是也有很多人对WordPress系统安全不了解,下面我们由北京六翼信息技术有限公司的技术开发工程师为大家讲解WordPress建站安全问题处理中的漏洞报告。

易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在您的网站上运行其中一个易受攻击的插件或主题该怎么做。

请添加图片描述

每个漏洞的严重性等级为低、中、高或严重。负责任地披露和报告漏洞是维护 WordPress 社区安全不可或缺的一部分。请与您的朋友分享这篇文章,以帮助宣传并使 WordPress 对每个人都更安全!

1. 启用媒体替换

(1) 漏洞:作者+任意文件上传

(2) 是否修复:是

(3) 版本:4.0.2

请添加图片描述

2. Spectra

(1) 漏洞:存储跨端脚本

(2) 是否修复:是

(3) 版本:1.15.0
在这里插入图片描述

3. GiveWP

(1) 漏洞:Contributor+ 存储型 XSS;未经身份验证的 SQLi

(2) 是否修复:是

(3) 版本:2.24.1

图片5

4. Parsi Date

(1) 漏洞:反映跨站脚本

(2) 是否修复:是

(3) 版本:4.0.2

在这里插入图片描述

5. Better Font Awesome

(1) 漏洞:Contributor+ 存储型 XSS

(2) 是否修复:是

(3) 版本:2.0.4

在这里插入图片描述

6. LearnPress插件

(1) 漏洞:未经验证的 LFI;订阅者+ SQLi;未经身份验证的 SQLi

(2) 是否修复:是

(3) 版本:4.2.0

在这里插入图片描述

7. WooCommerce的客户评论

(1) 漏洞:贡献者+ LFI;Contributor+ 存储型 XSS

(2) 是否修复:是

(3) 漏洞:版本:5.17.0

在这里插入图片描述

8. WP 访客统计(实时流量)

(1) 漏洞:Contributor+ 通过简码存储 XSS

(2) 是否修复:是

(3) 版本:6.5

在这里插入图片描述

9. WP 谷歌评论滑块

(1) 漏洞:订阅者+ SQLi

(2) 是否修复:是

(3) 版本:11.8

在这里插入图片描述

10. WP客户专区

(1) 漏洞:通过 CSRF 进行的未经授权的操作

(2) 是否修复:是

(3) 版本:8.1.4

WordPress建站安全性问题的系列以后会定期更新,欢迎关注。

六翼开源
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wordpress paid-memberships-pro plugins CVE-2023-23488未授权SQLi漏洞分析
afei001
03-07 395
WordPress插件paid-memberships-pro版本
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 562
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
WordPress Plugin SQL注入漏洞(CVE-2024-25832)
最新发布
2301_80127209的博客
06-18 474
WordPress是一种流行的内容管理系统(CMS),它提供了基本的网站功能,如文章发布、页面管理和用户权限控制等。然而,有时候用户需要更多的功能或特定的定制需求,这时就可以使用WordPress Plugin来实现。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。帮助你在面试中脱颖而出。
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
wordpress 漏洞_WordPress漏洞分析
weixin_42514783的博客
01-26 5379
根据CVE官方漏洞通报得知wordpress新出一个组合式rce漏洞漏洞编号分别为CVE-2019-8943和CVE-2019-8942,下载漏洞版本源码,分析漏洞触发过程,注:漏洞复现时一定要断网搭建,wordpress在联网状态时会自动更新代码包。找到漏洞发生文件 post.php,wordpress有多个post.php文件,这里简要说明一下各自的作用,wp-includes/post.p...
wordpress 漏洞_轻松发现WordPress漏洞
culi4814的博客
08-24 1万+
wordpress 漏洞As a developer or design professional, one of the biggest benefits of building your sites on WordPress is that in most cases you are building your code on a proven platform which has been ...
WordPress主题:Divi 4.22 -2023814 最新版本含demo 插件
08-14
WordPress主题:Divi 4.22 - 2023814最新版本含demo 插件》 WordPress作为一个全球最受欢迎的开源内容管理系统,其强大的可定制性和丰富的主题库是其魅力所在。Divi,作为其中的一款旗舰级主题,深受广大...
教程:腾讯云使用WordPress从零开始建站-黑科鸡Blog(六)
01-08
在继续我们的建站教程之前,先简单回顾一下上一期的内容:我们已经成功进入了WordPress的后台。接下来,我们将学习如何利用WordPress创建一个个性化的主页。 WordPress是一个基于PHP编程语言开发的开源博客平台,...
gatsby-starter-wordpress-advanced:Gatsby WordPress入门高级-教程
02-05
带有预览,i18n和更多功能的Gatsby WordPress Starter Advanced指南-概述 链接至教程教程大纲 国际化-i18n 动态预览 ... 根据时间和即将进行的讨论,此大纲可能会更改。 如果发现其他主题,我可能会添加一些...
laravel-wordpress-cms:文档laravel-wordpress-cms
02-11
Laravel Wordpress CMS 版本Laravel 7.1 版本Laravel Wordpress CMS 1.0欢迎来到GitHub Pages Laravel Admin相同的CMS Wordpress :) 演示链接: : 安装与设定###选项1: php artisan install###选项2: 第一步: ...
wordpress-mu.zip_Mu工具_Mu建站工具_WORDPRESS site_wordpress-mu
09-24
WordPress MU工具与建站WordPress MU(Multisite)是WordPress的核心扩展,允许用户在一个单一的WordPress安装上创建和管理多个独立的网站。这个工具是对于那些希望运营多个WordPress站点,例如网络托管服务...
wp-plugin-vulnerabilities:WordPress插件漏洞的集合
05-16
wp-plugin漏洞 WordPress插件漏洞的标准化集合。 用于此目的的数据已从WordPress.org存储库中的“”插件中提取,并以标准的YAML格式存储。 这些开发人员已为此YAML提供了所有原始源数据,我们所做的只是从PHP源代码中提取数据并将其存储在YAML中。 YAML结构的密钥是WordPress.org插件的子标签,可用于使用插件的目录名称轻松地识别已安装的插件(不幸的是,由于WordPress.org插件的性质,这种方法并不总是可靠的)。 我们将尽一切努力使它保持最新状态并与插件版本保持一致。 标签是从插件导入数据的期,并查看它是“最新”的,将其与该插件的“最新更新”期发布进行比较。 我想与原始开发人员合作,为此创建一个标准的数据存储,所以我还是朝着前进的方向迈进了-这毕竟是开源项目的目的。 为了帮助这个项目,请随时发出拉取请求等,我将在适当的时候考虑
CVE-2017-5489 WordPress漏洞
qq_33440662的博客
11-23 506
看我如何挖掘到WordPress漏洞并最终拿下$1337的赏金
WordPress plugin 代码注入漏洞(CVE-2022-24663)
千寻的博客
12-09 2431
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 `PHP Everywhere `的请求,并在站点上执行任意 PHP 代码。 存在常见用户名低权限用户弱口令
wordpress 4.6 RCE漏洞利用(CVE-2016-10033)
xiaobai_20190815的博客
04-08 5355
一、漏洞描述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行 二、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 三、漏洞搭建 vulhub下载,傻瓜式安装,然后漏洞在密码重置这个页面 四、漏洞利用 1、抓包,构造POST /wp-login.p
wordpress4.9漏洞
小小猪的博客
12-01 8167
漏洞介绍: WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标。这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-20714 该漏洞可能导致攻击者执行任意代码。该漏洞自发现到报告给W
插件漏洞导致 60 万个 WordPress 网站遭受攻击
网络研究观
11-16 4734
建议所有使用该插件的用户尽快升级到最新版本。
wordpress 漏洞_WordPress漏洞。 如何保护我的WordPress博客?
culin0274的博客
08-10 520
wordpress 漏洞 WordPress, being one of the most popular blogging platforms used, powers 60 million websites worldwide. So quite naturally, it is a prime target for criminals to try and find exploits in...
WordPress高级教程:PHP建站神器,可视化操作详解
WordPress教程是一份深入指南,针对PHP建站软件WordPress的高级使用方法,特别强调了可视化操作和主题制作技巧。该教程由夜阑小雨编著,于2009826发布,可在中国网站www.caogenpl.cn上获取草根评论和完整内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值