Fedora 36: wordpress (2022-4e099582c7)
high Nessus プラグイン ID 169256
Language:
概要
リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Fedora 36 ホストには、FEDORA-2022-4e099582c7 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。-** WordPress 6.0.3 セキュリティリリース** このリリースには、セキュリティ更新プログラムが含まれています。* wp-mail.php を介して保存される XSS (電子メールによる投稿)―(JPCERT 経由) 三井物産セキュアディレクションズ株式会社 米山俊嗣 * 'wp_nonce_ays' devrayn でリダイレクトを開く * wp-mail.php で公開される送信者のメールアドレス―(JPCERT 経由) 三井物産セキュアディレクションズ株式会社 米山俊嗣 * SQLi を介して XSS を反映するメディアライブラリ ― WordPress セキュリティチームの Ben Bidner と Automattic の Marc Montpas が独立してこの問題を発見した。* wp-trackback.php 内の CSRF ― Simon Scannell * Customizer を介して保存される XSS ― WordPress セキュリティチームの Alex Concha * 50790 で導入された共有ユーザー インスタンスを元に戻す ― WordPress セキュリティチームの Alex Concha と Ben Bidner * コメント編集を介して WordPress Core に保存される XSS ― サードパーティのセキュリティ監査と WordPress セキュリティチームの Alex Concha * REST Terms/Tags Endpoint を介したデータ公開 ― Than Taintor * マルチパートメールからのコンテンツの漏洩 ― Thomas Krftner *「WP_Date_Query」での不適切なサニタイズによる SQL インジェクション ― Michael Mazzolini RSS ウィジェット: 保存された XSS の問題 ― サードパーティのセキュリティ監査 * 検索ブロックに保存される XSS ― WP セキュリティチームの Alex Concha * 機能画像ブロック: XSS の問題 ― サードパーティのセキュリティ監査 * RSS ブロック:
保存された XSS の問題 ― サードパーティのセキュリティ監査 * ウィジェットブロック XSS の修正 ― サードパーティのセキュリティ監査 (FEDORA-2022-4e099582c7)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受ける wordpress パッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2022-4e099582c7
プラグインの詳細
深刻度: High
ID: 169256
ファイル名: fedora_2022-4e099582c7.nasl
バージョン: 1.0
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2022/12/23
更新日: 2022/12/23
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: cpe:/o:fedoraproject:fedora:36, p-cpe:/a:fedoraproject:fedora:wordpress
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/10/18
脆弱性公開日: 2022/10/18
参照情報
FEDORA: 2022-4e099582c7