検出

WordPress用Ultimate Product Catalogプラグイン< 4.2.26のPHPオブジェクトインジェクション

high Nessus プラグイン ID 105024

Language:

概要

リモートのWebサーバーが、PHPオブジェクトインジェクションの脆弱性の影響を受けるPHPアプリケーションを実行しています。

説明

自己報告されたバージョンによると、リモートのWebサーバーで実行されているWordPress用Ultimate Product Catalogプラグインは、4.2.26より前です。したがって、PHPオブジェクトインジェクションの脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、PHPオブジェクトを挿入し、任意のコードを実行する可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

WordPress用Ultimate Product Catalogプラグインをバージョン4.2.26以降にアップグレードしてください。

参考資料

https://dl.packetstormsecurity.net/1710-exploits/wpupc4224-inject.txt

https://wordpress.org/plugins/ultimate-product-catalogue/

プラグインの詳細

深刻度: High

ID: 105024

ファイル名: wordpress_ultimate_product_catalogue_4225.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2017/12/5

更新日: 2025/5/14

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:wordpress:wordpress, x-cpe:/a:ultimateproductcatalogue:ultimateproductcatalogue

必要な KB アイテム: installed_sw/WordPress, www/PHP

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/10/31

脆弱性公開日: 2017/10/30