検出

WordPress用Appointmentsプラグイン< 2.2.2のPHPオブジェクトインジェクション

high Nessus プラグイン ID 105025

Language:

概要

リモートのWebサーバーが、PHPオブジェクトインジェクションの脆弱性の影響を受けるPHPアプリケーションを実行しています。

説明

自己報告されたバージョンによると、リモートWebサーバーで実行されているWordPress用Appointments Pluginは、2.2.2より前です。
したがって、PHPオブジェクトインジェクションの脆弱性の影響を受けます。
認証されていないリモートの攻撃者がこれを悪用し、PHPオブジェクトを挿入し、任意のコードを実行する可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

WordPress用のAppointmentsプラグインをバージョン2.2.2以降にアップグレードし、「/includes/class_app_shortcodes.php」を削除します。

参考資料

http://www.nessus.org/u?c840b9a8

https://wordpress.org/plugins/appointments/

プラグインの詳細

深刻度: High

ID: 105025

ファイル名: wordpress_Appointments_222.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2017/12/5

更新日: 2025/5/14

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:wordpress:wordpress

必要な KB アイテム: installed_sw/WordPress, www/PHP

パッチ公開日: 2017/9/22

脆弱性公開日: 2017/9/2