2025-10-06 ~ 2025-10-12 Wordfence Intelligence (WordPress 漏洞報告)
-
共揭露 109 個 WordPress 漏洞,分布於 80 個外掛與 16 個佈景主題。
-
有 70 個漏洞已修補,39 個尚未修補。
-
依 CVSS 危害等級:1 個低危、76 個中等危害、24 個高危、8 個嚴重(Critical)。
-
本週重點漏洞類型包括:跨站腳本(XSS)35 件、授權遺漏 14 件、CSRF 11 件、SQL Injection 10 件、敏感資訊外洩 8 件等。
本週最緊急:Service Finder Bookings 遭主動攻擊
在您閱讀本週其他漏洞之前,請先檢查這件事:
Wordfence 已另行發布通告,指出 Service Finder Bookings 相關外掛存在嚴重漏洞,並且已觀測到駭客正積極利用此漏洞進行攻擊。如果您的網站(特別是預約服務型網站)安裝了此功能,請立即登入後台,確認外掛版本。建議立刻更新至最新版,或在不需要時直接移除,並進行後續的安全稽核。
嚴重(Critical)漏洞簡要
-
多起未授權 SQL Injection,包括 Community Events 外掛(CVE-2025-10586、CVE-2025-10587)。
-
Ovatheme Events Manager 外掛有未授權任意檔案上傳(CVE-2025-6553)。
-
Search & Go 佈景主題出現認證繞過與權限提升到帳號接管(CVE-2025-11522)。
-
WooCommerce Designer Pro 外掛有未授權任意檔案刪除(CVE-2025-6439,尚未修補)。
-
WP Freeio、WP Travel Engine 等外掛亦有重大未授權權限提升及本地檔案包含漏洞。
-
其他如 Advanced Scrollbar、Emails Catch All、GSheetConnector、Lisfinity Core、Sonaar、Togo、Grevo、HomeRoofer、Joly、Karzo、Motors、Neuronet、Noisa、Xcare 等主題/外掛也有高危漏洞。
新增 WAF(Web應用防火牆)規則
-
本週針對新通報漏洞已部署增強規則,但詳細規則內容因與廠商協同修補而未公開。
-
付費用戶即時受保護,免費版延後 30 天。
貢獻研究人員
本週有 45 位安全研究人員參與,貢獻漏洞揭露最多的是 Tran Nguyen Bao Khanh (17)及 Muhammad Yudha – DJ (13)。
受影響 (含重大漏洞) 代表性外掛與主題
| 外掛名稱 | 主要漏洞類型 | 危害程度 |
|---|---|---|
| Community Events | SQL Injection | Critical |
| Ovatheme Events Manager | 任意檔案上傳 | Critical |
| WP Freeio | 權限提升 | Critical |
| Search & Go 主題 | 帳號接管 | Critical |
| WooCommerce Designer Pro | 任意檔案刪除 | Critical(未修補) |
立即行動
請立刻依照以下步驟,為您的網站進行健檢:
-
停用並「刪除」:立刻登入後台,檢查所有「已停用」或「根本沒在用」的外掛與佈景主題,並直接刪除它們。放在那裡不用,就是潛在的風險。
-
全部更新:前往「更新」頁面,將 WordPress 核心、所有外掛和佈景主題更新到最新版本。
-
開啟自動更新:對於有信譽的知名外掛(如 Wordfence, Rank Math, WP Rocket 等),建議開啟自動更新功能。
-
定期稽核:將「每週二檢查外掛清單」排入您的行事曆。
給進階使用者的建議
-
在 Staging 環境測試:在更新重要外掛(如 WooCommerce)之前,請務必先在 Staging(測試站)環境更新。確認功能一切正常(尤其是金流和結帳),再部署到正式站。
-
手動更新 (SFTP):若自動更新失敗,請透過 SFTP 手動上傳新版外掛檔案,確保舊的檔案被完整覆蓋。
如果喜歡這篇文章,並想持續收到更多限時免費、科技新聞、 Apple 資訊,以及 AI 、 WordPress 教學與資源分享,歡迎透過以下方式支持我,讓我更有動力創作:
👍 按讚與追蹤:鎖定我的 [FB專頁]、[Instagram]、[Threads] 和 [X],就不會錯過最新內容。
☕ 請我喝杯咖啡:如果內容對你有幫助,歡迎到 [Ko-fi] 小額支持,為我注入創作能量。
你的一個 Like、追蹤或是一杯咖啡的鼓勵,都能激勵我持續分享更多實用文章。由衷感謝大家。😉