検出

Fedora 30:wordpress(2019-da7b49a4b1)

high Nessus プラグイン ID 132658

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

**WordPress 5.3.2 メンテナンスリリース**

WordPress 5.3.1のリリース後まもなく、いくつかの重要度の高いTracチケットが公開されました。コアチームは、これらの問題を解決するために、このクイックメンテナンスリリースをスケジュールしました。

5.3.2で対処された主な問題:

 - 日付/時間:get_feed_build_date()が無効な日付の変更されたpostオブジェクトを正しく処理するようにします。

 - アップロード:大文字と小文字を区別しないファイルシステムで大文字の拡張子を持つファイルをアップロードする際の、wp_unique_filename()でのファイル名衝突を修正します。

 - メディア:宛先ディレクトリが読み取れないときのwp_unique_filename()のPHP警告を修正します。

 - 管理:.activeクラスのボタンの全カラースキームでカラーを修正します。

 - 投稿、投稿タイプ:wp_insert_post()で投稿の日付をチェックして将来または公開のステータスを設定する際に、適切なデルタ比較を使用します。

----

次を参照してください:[WordPress 5.3.1セキュリティおよびメンテナンスリリース](https://wordpress.org/news/2019/12/wordpress-5-3-1-security-a nd-maintenance-release/)

WordPress バージョン5.3以前は**4つのセキュリティ問題**による影響を受けます:
バージョン5.3.1はこれらを修正しているため、アップグレードする必要があります。まだ 5.3に更新していない場合は、セキュリティ問題を修正する5.2以前の更新済みのバージョンもあります。

 - 権限のないユーザーがREST APIを介して投稿を固定表示する可能性がある問題を発見してくれたDaniel Bachhuber氏に感謝の意を表します。

 - クロスサイトスクリプティング(XSS)が巧妙に細工されたリンクに保存される可能性のある問題を見つけて公開してくれたRIPS TechnologiesのSimon Scannell氏に感謝の意を表します。

 - namedコロン属性を確実に認識させるようにするためにwp_kses_bad_protocol()を強化してくれたWordPress.orgセキュリティチームに感謝の意を表します。

 - ブロックエディターコンテンツを使用した蓄積型XSSの脆弱性を発見してくれたNguyen The Duc氏に感謝の意を表します。

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるwordpressパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2019-da7b49a4b1

プラグインの詳細

深刻度: High

ID: 132658

ファイル名: fedora_2019-da7b49a4b1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2020/1/6

更新日: 2020/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:wordpress, cpe:/o:fedoraproject:fedora:30

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2020/1/3

脆弱性公開日: 2020/1/3

参照情報