検出

WordPress用WP Statisticsプラグイン < 12.6.7のブラインドSQLインジェクション

high Nessus プラグイン ID 126382

Language:

概要

リモートのWebサーバーは、SQLインジェクションの脆弱性の影響を受けるPHPスクリプトをホストしています。

説明

リモートWebサーバーで実行されているWordPress用WP Statisticsプラグインは、ユーザー指定の入力が不適切にサニタイズされているため、SQLインジェクションの脆弱性の影響を受けます。認証されていないリモートの攻撃者がこの問題を悪用し、バックエンドデータベースでSQLクエリを挿入または操作することで、任意のデータを操作する可能性があります。

ソリューション

WordPress用WP Statisticsプラグインをバージョン12.6.7以降にアップグレードしてください。

参考資料

https://wpvulndb.com/vulnerabilities/9412

http://www.nessus.org/u?c1f1e9ef

プラグインの詳細

深刻度: High

ID: 126382

ファイル名: wordpress_wp_statistics_sqli_2019.nasl

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2019/7/2

更新日: 2024/6/5

サポートされているセンサー: Nessus

Enable CGI Scanning: true

リスク情報

CVSS スコアの根本的理由: Tenable score for sql injection.

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: manual

CVSS v3

リスクファクター: High

基本値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

脆弱性情報

CPE: cpe:/a:wordpress:wordpress

必要な KB アイテム: installed_sw/WordPress, www/PHP

除外される KB アイテム: Settings/disable_cgi_scanning

Nessus によりエクスプロイト済み: true

パッチ公開日: 2019/7/1

脆弱性公開日: 2019/7/1