2020年3月 WordPress插件漏洞信息汇总提醒-荐爱小站

虽然 WordPress内核漏洞相对比较少，但众多的第三方 WordPress插件漏洞却一直非常多，本文整理了 20年3月最新发现的 WordPress插件漏洞信息，大家可以看下自己是否在使用了包含漏洞的插件版本。

如果有以下 WordPress插件版本漏洞存在，请确保按照以下建议的操作来更新插件或完全卸载它。（仅仅停用插件并不可靠！）

WordPress插件漏洞

1. CardGate Payments for WooCommerce

CardGate Payments for WooCommerce 3.1.15及更低版本会有未经授权的付款劫持和订单状态欺骗漏洞。该漏洞已修复，您应该更新到版本3.1.16及以上。

2. Async JavaScript

Async JavaScript 的2.19.07.14版本及以下版本会有未经身份验证的存储的跨站点脚本漏洞。该漏洞已修复，您应该更新到版本2.20.03.01及以上。

3. 10Web Map Builder for Google Maps

10Web Map Builder for Google Maps 的 1.0.63及更低版本有一个未经身份验证的存储的跨站点脚本漏洞。该漏洞已修复，您应该更新到版本1.0.64及以上。

4. WP Security Audit Log

WP Security Audit Log 的 4.0.1版本及更低版本具有破坏访问控制漏洞。该漏洞已修复，您应该更新到版本4.0.2及以上。

5. Popup Builder

Popup Builder 3.63及以下版本存在未经身份验证的XSS和信息泄露漏洞。漏洞可能允许未经身份验证的攻击者向显示在成千上万个网站上的弹出窗口注入恶意JavaScript代码，以窃取信息，并有可能完全接管目标站点。该漏洞已修复，您应该更新到版本3.64.1及以上。

6. WPForms

WPForms 1.5.8.2和更低版本具有“身份验证的跨站点脚本” 漏洞。该漏洞已修复，您应该更新到版本1.5.9及以上。

7. WordPress WP-Advanced-Search

WordPress WP-Advanced-Search 3.3.3及更低版本具有未经身份验证的数据库访问和远程执行代码漏洞。该漏洞已修复，您应该更新到版本3.3.4及以上。

8. Pricing Table by Supsystic

Pricing Table by Supsystic 1.8.1及更低版本的定价表具有多个漏洞。漏洞已修复，您应该更新到版本1.8.2以上。

9. Flexible Checkout Fields for WooCommerce

Flexible Checkout Fields for WooCommerce 版本2.3.1及更低版本具有“未经身份验证的设置更新”漏洞。该插件遭到了恶意的积极利用，并向WooCommerce结帐页面注入了恶意脚本。该漏洞已修复，您应该更新到版本2.3.2及以上。

10. Hero Maps

Hero Maps 2.2.1及更低版本具有一个未经身份验证的反映跨站点脚本漏洞。该漏洞已修复，您应该更新到版本2.2.3及以上。

通常使用过时的老旧版本软件程序是 WordPress网站遭到漏洞威胁的重要原因。及时更新对于 WordPress网站的安全至关重要。一般应该每周至少登录一次网站以便执行相应程序更新。

对于不经常登录和更改的 WordPress网站，自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了一般的安全设置，在您的站点上运行过时易受攻击的软件仍可以使攻击者进入您的站点。

2020年3月 WordPress插件漏洞信息汇总提醒