WordPress是一款廣受歡迎的、世界知名的博客程序，其不光可以搭建博客網(wǎng)站，還被用于搭建企業(yè)網(wǎng)站、電商網(wǎng)站等等，應(yīng)用非常廣泛，用戶(hù)也非常多。

Active Products Tables for WooCommerce 是一款用于 WooCommerce 電商平臺(tái)的插件，它允許你創(chuàng)建并顯示活躍產(chǎn)品表格，包括最受歡迎的產(chǎn)品、最新上架的產(chǎn)品、銷(xiāo)量最高的產(chǎn)品等。

國(guó)家信息安全漏洞共享平臺(tái)于2024-11-20公布該插件存在跨站腳本漏洞。

漏洞編號(hào)：CNVD-2024-45436、CVE-2024-10168

影響產(chǎn)品：WordPress Active Products Tables for WooCommerce plugin <=1.0.6.4

漏洞級(jí)別：中

公布時(shí)間：2024-11-20

漏洞描述：漏洞源于該插件的 woot_button 函數(shù)對(duì)用戶(hù)提供的數(shù)據(jù)缺乏安全處理，導(dǎo)致存在跨站腳本漏洞，不法分子可利用該漏洞注入執(zhí)行任意Web腳本或HTML，可獲取敏感信息或劫持用戶(hù)會(huì)話。

解決辦法：

目前廠商已經(jīng)發(fā)布修復(fù)補(bǔ)丁，補(bǔ)丁詳情：https://www.cnvd.org.cn/patchInfo/show/622861

另外根據(jù)網(wǎng)上信息，此插件在1.0.6.1版本也出現(xiàn)過(guò)跨站腳本漏洞，可以看出此程序的漏洞沒(méi)有中斷過(guò)，如果僅僅依靠官方補(bǔ)丁，不一定能永絕后患，建議部署第三方防護(hù)系統(tǒng)進(jìn)行防護(hù)。

可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來(lái)解決該漏洞問(wèn)題，該模塊除了防SQL注入，還可以防跨站腳本漏洞。不止對(duì)該漏洞有效，對(duì)所有SQL注入和跨腳本漏洞都可以防護(hù)。

1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊（如圖一）除了攔截SQL注入，還可以攔截xss跨站腳本，一并解決ZZCMS的其他安全漏洞，攔截效果如圖四。

（圖一：SQL注入防護(hù)模塊）

（圖二：XSS跨站腳本攻擊防護(hù)）

（圖三：SQL注入攔截效果）

2、防篡改保護(hù)

如果對(duì)安全要求較高，還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊，對(duì)WordPress做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”（如圖五）。選擇網(wǎng)站目錄，安全模板選擇“WordPress安全模板”，并填寫(xiě)正確的后臺(tái)地址，點(diǎn)擊“確定”按鈕，就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有WordPress的篡改防護(hù)規(guī)則，只需簡(jiǎn)單設(shè)置即可解決，非常方便！

（圖五：添加WordPress防篡改規(guī)則）

設(shè)置好以后，防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù)，后期訪問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼（如圖六），只有輸入了正確的密碼才能訪問(wèn)。

（圖六：訪問(wèn)后臺(tái)需要輸入授權(quán)密碼）