FreeBSD: wordpress -- 複数の問題(4b98613c-0078-11e9-b05b-00e04c1ea73d)
high Nessus プラグイン ID 119699
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
wordpress 開発者による報告:WordPressバージョン5.0以前は、以下のバグの影響を受けます。これらのバグはバージョン5.0.1で修正されています。まだ5.0に更新していないユーザーは、WordPress 4.9と古いリリースの最新版をご利用いただけます。
Karim El Ouerghemmi氏は、作成者がメタデータを変更して、権限のないファイルを削除する可能性があることを発見しました。
RIPS TechnologiesのSimon Scannell氏は、特別に細工された入力で、作成者が権限のない投稿タイプの投稿を作成する可能性があることを発見しました。
Sam Thomas氏は、投稿者がメタデータを細工して、PHPオブジェクトインジェクションを引き起こす可能性があることを発見しました。
Tim Coen氏は、投稿者がより高い権限のユーザーからの新しいコメントを編集し、クロスサイトスクリプティングの脆弱性を引き起こす可能性があることを発見しました。
Tim Coen氏は、特別に細工されたURL入力が、状況によってはクロスサイトスクリプティングの脆弱性につながる可能性があることも発見しました。
WordPress自体は影響を受けませんでしたが、プラグインは状況によっては影響を受ける可能性がありました。
Team Yoastは、一部の一般的でない構成では、ユーザーアクティベーション画面が検索エンジンによってインデックス化され、メールアドレスの漏洩、また一部の特殊なケースではデフォルト生成パスワードの漏洩が発生する可能性があることを発見しました。
Tim Coen氏とSlavco氏は、Apacheでホストされているサイトの作成者が、MIME検証をバイパスする特別に細工されたファイルをアップロードし、クロスサイトスクリプティングの脆弱性を引き起こす可能性があることを発見しました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
プラグインの詳細
深刻度: High
ID: 119699
ファイル名: freebsd_pkg_4b98613c007811e9b05b00e04c1ea73d.nasl
バージョン: 1.1
タイプ: local
公開日: 2018/12/17
更新日: 2018/12/17
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:de-wordpress, p-cpe:/a:freebsd:freebsd:fr-wordpress, p-cpe:/a:freebsd:freebsd:ja-wordpress, p-cpe:/a:freebsd:freebsd:ru-wordpress, p-cpe:/a:freebsd:freebsd:wordpress, p-cpe:/a:freebsd:freebsd:zh_cn-wordpress, p-cpe:/a:freebsd:freebsd:zh_tw-wordpress, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2018/12/15
脆弱性公開日: 2018/12/13