検出

Debian DSA-2190-1:wordpress - いくつかの脆弱性

medium Nessus プラグイン ID 52637

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

2 つの XSS バグおよび 1 つの潜在的な情報漏洩の問題が、Web ログマネージャである WordPress で発見されました。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています:

 - CVE-2011-0700「Quick Edit」または「Bulk Edit」アクション実行時の投稿タイトル、ならびに「post_status」、「comment_status」および「ping_status」パラメーターにより渡される入力は、使用前に適切にサニタイズされません。tags meta box のタグから渡される特定の入力は、ユーザーに返される前に適切にサニタイズされません。

 - CVE-2011-0701 WordPress は、メディアアップローダーを通じて投稿にアクセスする際、ユーザーアクセス制限を適切に実施しません。これが悪用されて、プライベート投稿または投稿の下書きなどのコンテンツが漏洩する可能性があります。

旧安定版(oldstable)ディストリビューション(lenny)は、これらの問題の影響を受けません。

ソリューション

wordpressパッケージをアップグレードしてください。

安定版(stable)ディストリビューション(squeeze)については、バージョン 3.0.5+dfsg-0+squeeze1 でこれらの問題は修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2011-0700

https://security-tracker.debian.org/tracker/CVE-2011-0701

https://packages.debian.org/source/squeeze/wordpress

https://www.debian.org/security/2011/dsa-2190

プラグインの詳細

深刻度: Medium

ID: 52637

ファイル名: debian_DSA-2190.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2011/3/14

更新日: 2021/1/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:wordpress, cpe:/o:debian:debian_linux:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/3/11

参照情報

CVE: CVE-2011-0700, CVE-2011-0701

BID: 46249

DSA: 2190