共计 1995 个字符，预计需要花费 5 分钟才能阅读完成。

WordPress 是 WordPress（Wordpress）基金会的一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。

WordPress 插件 Float menu 跨站请求伪造漏洞

WordPress 插件 Float menu 存在跨站请求伪造漏洞，该漏洞源于产品在删除菜单时未对用户 身份进行有效验证。攻击者可利用该漏洞将管理员删除。

CVE ID：CVE-2022-0313

危害级别 ： 中

漏洞类型 ： 通用型漏洞

影响产品：WordPress Float menu <4.3.1

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2022-0313

WordPress 插件 Buffer Button 跨站脚本漏洞

WordPress 插件 Buffer Button 1.0 之前版本存在跨站脚本漏洞，该漏洞源于插件在 Twitter 用户名中提到文本字段时缺少过滤和转义，目前没有详细的漏洞细节提供。

CVE ID：CVE-2021-25058

危害级别 ： 低

漏洞类型 ： 通用型漏洞

影响产品：WordPress Buffer Button <1.0

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2021-25058

WordPress 插件 Five Star Business Profile and Schema 跨站脚本漏洞

WordPress 插件 Five Star Business Profile and Schema 2.1.7 之前版本存在跨站脚本漏洞，该漏洞源于插件在其 bpfwp_welcome_add_contact_page 和 bpfwp_welcome_set_contact_information AJAX 操作中没有任何授权和跨站请求伪造 token 校验，允许任何经过身份验证的用户（如订阅者）调用它们。此外，由于缺乏过滤和转义，还会导致存储跨站点脚本问题。目前没有详细的漏洞细节提供。

CVE ID：CVE-2021-25060

危害级别 ： 低

漏洞类型 ： 通用型漏洞

影响产品：WordPress Five Star Business Profile and Schema <2.1.7

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2021-25060

WordPress 插件 Download Manager SQL 注入漏洞

WordPress 插件 Download Manager 3.2.34 之前版本存在 SQL 注入漏洞，该漏洞源于插件在 SQL 语句中使用 package_ids 参数之前没有对其进行清理和转义，攻击者可利用漏洞导致了 SQL 注入，这也可能被利用来导致反射型跨站脚本问题。

CVE ID：CVE-2021-25069

危害级别 ： 中

漏洞类型 ： 通用型漏洞

影响产品：WordPress Download Manager <3.2.34

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2021-25069

WordPress 插件 Duplicate Page or Post 跨站脚本漏洞

WordPress 插件 Duplicate Page or Post 存在安全漏洞，该漏洞源于插件没有 CSRF 检查，攻击者可利用该漏洞执行跨站脚本攻击。

CVE ID：CVE-2021-25075

危害级别 ： 低

漏洞类型 ： 通用型漏洞

影响产品：WordPress Duplicate Page or Post <1.5.1

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2021-25075

WordPress 插件 Popup Builder 路径遍历漏洞

WordPress 插件 Popup Builder 存在路径遍历漏洞，该漏洞源于插件在在 require 语句中使用 sgpb 类型参数之前并没有进行验证和清理，攻击者可利用该漏洞执行远程代码。

CVE ID：CVE-2021-25082

危害级别 ： 中

漏洞类型 ： 通用型漏洞

影响产品：WordPress Popup Builder <4.0.7

漏洞解决方案 ： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

参考：https://nvd.nist.gov/vuln/detail/CVE-2021-25082

点个关注：

发布结果公告信息之前，我们决定声明力争保证每条公告的和建议。同时，采纳和实施公告中的则完全由用户自己决定，可能出现的问题也完全由用户承担。采纳您的建议，您提出您的个人或企业的决策，您应考虑其或个人或您的企业的策略和流程。