検出

WordPress用WP Statistics Plugin < 12.0.8 'functions.php' wp_statistics_searchengine_query() SQLi

high Nessus プラグイン ID 101302

Language:

概要

リモートのWebサーバーは、SQLインジェクションの脆弱性の影響を受けるPHPスクリプトをホストしています。

説明

自己報告されたバージョンと構成によると、リモートのWebサーバー上で実行されているWordPress用のWP Statistics Pluginは12.0.8より前で、ユーザー登録が有効になっています。したがって、functions.phpスクリプトのwp_statistics_searchengine_query()関数へのユーザー指定入力が不適切にサニタイズされているため、SQLインジェクションの脆弱性の影響を受けます。認証されたリモートの攻撃者は、これを悪用して、バックエンドデータベースでSQLクエリを注入または操作することで、任意のデータを操作または漏えいする可能性があります。

ソリューション

WordPress用Statisticsプラグインをバージョン12.0.8以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?bd6629cd

プラグインの詳細

深刻度: High

ID: 101302

ファイル名: wordpress_wp_statistics_12_0_8.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2017/7/7

更新日: 2025/5/14

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:wordpress:wordpress

必要な KB アイテム: installed_sw/WordPress, www/PHP

パッチ公開日: 2017/6/29

脆弱性公開日: 2017/6/30