SingCERT 警告称，多个 WordPress 插件中发现严重漏洞

新加坡网络安全局就多个 WordPress 插件中的漏洞发出了严重警报，强调用户必须立即采取行动。这些 WordPress 插件漏洞被视为严重漏洞，对网站安全构成重大风险，可能允许恶意行为者进行未经授权的访问和利用。

安全更新已及时发布，以解决多个 WordPress 插件中的这些严重漏洞。SingCERT 已报告 9 个严重的 WordPress 插件漏洞，并分享了缓解策略，以避免被威胁行为者利用。

SingCERT 标记了多个 WordPress 插件漏洞
SingCERT标记了这些严重的 WordPress 漏洞，包括允许任意文件上传和SQL 注入的漏洞。这些漏洞如下：

WordPress Copymatic
AI 内容编写器和生成器：利用此漏洞 (CVE-2024-31351) 可使未经身份验证的攻击者将任意文件上传到网站，从而可能损害其完整性。此漏洞的严重性由其最高 CVSSv3.1 评分（满分 10 分）凸显，影响 1.7 之前的插件版本。

饼图寄存器
社交网站登录（附加组件）：此插件漏洞被识别为 CVE-2024-4544，允许绕过身份验证，从而可能导致未经授权访问用户帐户。CVSSv3.1 评分为 9.8（满分 10 分），1.7.8 之前的插件版本受到影响。

哈希表单拖放表单生成器
Hash Form Drag & Drop Form Builder 漏洞 (CVE-2024-5084) 允许未经身份验证的攻击者上传任意文件，从而在受影响的网站上执行远程代码。该漏洞的严重程度为 9.8 分（满分 10 分），影响 1.1.1 之前的插件版本。

国家/地区州/城市下拉菜单 CF7 插件
此插件中发现的漏洞 (CVE-2024-3495) 允许 SQL 注入，可能会危及存储在网站数据库中的敏感数据。该漏洞的评分为 9.8 分（满分 10 分），2.7.3 之前的版本受到影响。

Elementor 的 WPZOOM 插件（模板、小部件）
该漏洞（CVE-2024-5147）可使未经身份验证的攻击者在服务器上上传并执行任意文件，对网站安全构成严重威胁。1.1.38 之前的插件版本存在此漏洞，CVSSv3.1 评分为 9.8 分（满分 10 分）。

商业目录插件
Easy Listing Directories：易受 SQL 注入攻击 (CVE-2024-4443)，此插件允许未经身份验证的攻击者从网站数据库中提取敏感信息。CVSSv3.1 评分为 9.8 分（满分 10 分），6.4.3 之前的版本存在风险。

UserPro 插件
此漏洞 (CVE-2024-35700) 可使攻击者提升权限，从而可能完全控制受影响的网站。5.1.9 之前的插件版本受到影响，CVSSv3.1 评分为 9.8（满分 10 分）。

Fluent Forms 联系表单插件
该插件的漏洞版本（CVE-2024-2771）允许提升权限，对网站安全构成重大风险。5.1.17 之前的版本受到影响，CVSSv3.1 评分为 9.8 分（满分 10 分）。值得注意的是，该漏洞已被积极利用。

Web 目录免费插件
该插件漏洞（CVE-2024-3552）允许未经身份验证的攻击者通过 SQL 注入直接与网站数据库交互，从而可能导致数据窃取。1.7.0 之前的版本受到影响，CVSSv3.1 评分为 9.3（满分 10 分）。

WordPress 漏洞的缓解策略
强烈建议使用这些 WordPress 插件受影响版本的用户和管理员立即更新到最新版本，以缓解这些漏洞并保护他们的网站免受潜在的攻击。

有关这些 WordPress 插件漏洞的更多详细信息和缓解指导，用户可以参考开发人员提供的相应插件文档和更新。此外，在等待更新期间，采用虚拟修补等安全措施可以提供临时保护。

确保 WordPress 网站的安全需要采取主动措施，包括定期更新和监控漏洞。通过随时了解情况并及时解决安全问题，网站所有者可以有效地保护其在线资产免受潜在威胁。