Fedora 25：wordpress（2017-3bf0bd9c0c）

high Nessus プラグイン ID 103541

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

Upstreamの発表：

**WordPress 4.8.2が現在利用可能です**。これは前のバージョンすべてのセキュリティリリースであり、弊社はユーザーが自分のサイトをすぐに更新することを強く推奨します。

WordPressバージョン4.8.1以前は、次のセキュリティ問題の影響を受けます：

- $wpdb->prepare()が予期しない安全でないクエリを作成し、SQLインジェクション（SQLi）を引き起こす可能性があります。
WordPressコアはこの問題に直接脆弱ではありませんが、プラグインとテーマが偶発的に脆弱性を引き起こすことを防ぐために、強化を追加しました。
Slavcoによる報告

- クロスサイトスクリプティング（XSS）の脆弱性が、oEmbedディスカバリーで発見されました。WordPressセキュリティチームのxknown氏による報告。

- クロスサイトスクリプティング（XSS）の脆弱性が、ビジュアルエディターで発見されました。Sucuri SecurityのRodolfo Assis氏（@brutelogic）による報告。

- パストラバーサルの脆弱性が、ファイル解凍コードで発見されました。Alex Chapman氏（noxrnet）による報告。

- クロスサイトスクリプティング（XSS）の脆弱性が、プラグインエディターで発見されました。陈陈琦（Chen Ruiqi）氏による報告。

- オープンリダイレクトが、ユーザー画面と条件編集画面で発見されました。Yasin Soliman氏（ysx）による報告。

- パストラバーサルの脆弱性が、カスタマイザーで発見されました。WordPressセキュリティチームのWeston Ruter氏による報告。

- クロスサイトスクリプティング（XSS）の脆弱性が、テンプレート名で発見されました。Luka氏（sikic）による報告。

- クロスサイトスクリプティング（XSS）の脆弱性が、リンクモデルで発見されました。Anas Roubi氏（qasuar）による報告。

[責任のある開示]を行ってくれたこれらの問題の報告者に感謝の意を表します（https://make.wordpress.org/core/handbook/testing/reporting
-security-vulnerabilities/）。

上記のセキュリティ上の問題に加えて、WordPress 4.8.2には4.8リリースシリーズへの6つのメンテナンスの修正が含まれています。詳細情報については、[リリースノート]（https://codex.wordpress.org/Version_4.8.2）を参照するか、[変更のリスト]（https://core.trac.wordpress.org/query?status=closed&milestone =4.8.2&group=component&col=id&col=summary&col=component&col=status&col =owner&col=type&col=priority&col=keywords&order=priority）で確認してください。

4.8.2に貢献してくれたすべての人に感謝の意を表します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。