近日，新加坡計(jì)算機(jī)應(yīng)急響應(yīng)中心（SingCERT）報(bào)告了9個(gè)重要的 WordPress 插件漏洞，這些WordPress插件漏洞被視為關(guān)鍵漏洞，可能允許惡意行為者進(jìn)行未經(jīng)授權(quán)的訪問和利用，會(huì)對(duì)網(wǎng)站安全構(gòu)成重大風(fēng)險(xiǎn)。對(duì)此，SingCERT發(fā)出了嚴(yán)重警告，并分享了緩解策略，以避免被威脅行為者利用，以下是相關(guān)內(nèi)容。

一、SingCERT發(fā)現(xiàn)的多個(gè)WordPress插件漏洞

SingCERT發(fā)現(xiàn)了這些關(guān)鍵的WordPress漏洞，包括允許任意文件上傳和SQL注入的漏洞。這些漏洞如下：

1、WordPress Copymatic

AI內(nèi)容編寫器和生成器：利用此漏洞（CVE-2024-31351），未經(jīng)身份驗(yàn)證的攻擊者可以將任意文件上傳到網(wǎng)站，從而可能損害其完整性。CVSSv3.1的最高得分為10分（滿分10分），這突出了該漏洞的嚴(yán)重性，影響了1.7之前的插件版本。

2、餅圖寄存器

社交網(wǎng)站登錄（附加組件）：通過CVE-2024-4544識(shí)別，此插件漏洞允許繞過身份驗(yàn)證，可能導(dǎo)致對(duì)用戶帳戶的未經(jīng)授權(quán)訪問。CVSSv3.1的得分為9.8（滿分10分），1.7.8之前的插件版本會(huì)受到影響。

3、哈希表單拖放表單生成器

Hash Form Drag & Drop Form Builder 存在漏洞 (CVE-2024-5084)，未經(jīng)身份驗(yàn)證的攻擊者可上傳任意文件，從而在受影響的網(wǎng)站上遠(yuǎn)程執(zhí)行代碼。該漏洞的嚴(yán)重性為 9.8（滿分 10 分），影響 1.1.1 之前的插件版本。

4、國(guó)家 州 城市下拉 CF7 插件

在此插件中發(fā)現(xiàn)的漏洞 (CVE-2024-3495) 允許 SQL 注入，可能會(huì)危及網(wǎng)站數(shù)據(jù)庫中存儲(chǔ)的敏感數(shù)據(jù)。該漏洞的評(píng)級(jí)為 9.8（滿分 10 分），2.7.3 之前的版本受影響。

5、用于 Elementor 的 WPZOOM 附加組件（模板、小工具）

該漏洞（CVE-2024-5147）可讓未經(jīng)身份驗(yàn)證的攻擊者在服務(wù)器上上傳和執(zhí)行任意文件，對(duì)網(wǎng)站安全構(gòu)成嚴(yán)重威脅。1.1.38 之前版本的插件存在漏洞，CVSSv3.1 得分為 9.8（滿分 10 分）。

6、商業(yè)目錄插件

Easy Listing Directories： 該插件存在 SQL 注入 (CVE-2024-4443) 漏洞，未經(jīng)身份驗(yàn)證的攻擊者可利用該漏洞從網(wǎng)站數(shù)據(jù)庫中提取敏感信息。該插件的 CVSSv3.1 得分為 9.8（滿分 10 分），6.4.3 之前的版本存在風(fēng)險(xiǎn)。

7、UserPro 插件

該漏洞（CVE-2024-35700）可讓攻擊者提升權(quán)限，從而完全控制受影響的網(wǎng)站。該插件 5.1.9 之前的版本受影響，CVSSv3.1 得分為 9.8（滿分 10 分）。

8、Fluent Forms 聯(lián)系表單插件

此插件的漏洞版本 (CVE-2024-2771) 允許權(quán)限升級(jí)，給網(wǎng)站安全帶來重大風(fēng)險(xiǎn)。5.1.17 之前的版本受到影響，CVSSv3.1 得分為 9.8（滿分 10 分）。值得注意的是，該漏洞正被積極利用。

9、網(wǎng)絡(luò)目錄免費(fèi)插件

此插件漏洞 (CVE-2024-3552) 允許未經(jīng)身份驗(yàn)證的攻擊者通過 SQL 注入直接與網(wǎng)站數(shù)據(jù)庫交互，可能導(dǎo)致數(shù)據(jù)被盜。1.7.0 之前的版本受影響，CVSSv3.1 得分為 9.3（滿分 10 分）。

二、WordPress漏洞的緩解策略

強(qiáng)烈建議使用這些WordPress插件受影響版本的用戶和管理員立即更新到最新版本，以緩解這些漏洞，并保護(hù)他們的網(wǎng)站免受潛在的攻擊。

有關(guān)緩解這些WordPress插件漏洞的更多詳細(xì)信息和指導(dǎo)，用戶可以參考開發(fā)人員提供的相應(yīng)插件文檔和更新。此外，采用虛擬修補(bǔ)等安全措施可以在等待更新時(shí)提供臨時(shí)保護(hù)。

要確保 WordPress 網(wǎng)站安全，需要采取積極主動(dòng)的措施，包括定期更新和監(jiān)控漏洞。通過隨時(shí)了解情況并及時(shí)解決安全問題，網(wǎng)站所有者可以有效保護(hù)其在線資產(chǎn)免受潛在威脅。

來源：thecyberexpress
資料鏈接：https://thecyberexpress.com/wordpress-plugin-vulnerabilities/

相關(guān)閱讀：如何確保網(wǎng)站安全？確保網(wǎng)站安全的17種方法