WordPress < 3.3.2の複数の脆弱性
critical Nessus プラグイン ID 59048
Language:
概要
リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。説明
バージョン番号によると、リモートの Web サーバーでホスティングされている WordPress のインストールは、次の複数の脆弱性により影響を受けます:- このアプリケーションは、wp-includes/js/swfupload/swfupload.swf の詳細不明な脆弱性の影響を受けます。
(CVE-2012-2399)
- このアプリケーションは、wp-includes/js/swfobject.js の詳細不明な脆弱性の影響を受けます。
(CVE-2012-2400)
- このアプリケーションには、どのドメインから SWF コンテンツがロードされたかにかかわらずスクリプティングを有効にする、1.5.4 より前のバージョンの Plupload が含まれています。これにより、リモートの攻撃者が、細工されたコンテンツを通じて、同一生成元ポリシーをバイパスすることが可能です。(CVE-2012-2401)
- このアプリケーションは、セキュリティバイパス脆弱性の影響を受けます。この問題の悪用に成功すると、サイト管理者が、ネットワーク全体のプラグインを無効にすることが可能です。この問題には、WordPress ネットワークの下で実行するアプリケーションが必要です。(CVE-2012-2402)
- アプリケーションで、複数のクロスサイトスクリプティング脆弱性が発生しやすくなっています。攻撃者が、特別に細工されたコメントを利用することで、URL をクリック可能にするときにアプリケーションが影響を受けます。
(CVE-2012-2403、CVE-2012-2404)
注意: CVE-2011-4898、CVE-2011-4899、CVE-2012-0782、CVE-2012-0937およびCVE-2012-1936は、WordPressバージョン3.3.1およびそれ以前に影響を与えると報告されていますが、CVEについては現在、明確な解決策がないとして議論されています。最新のWordPressバージョンに更新することを推奨します。
注意:Nessus はこの問題に対してテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号のみに依存しています。
ソリューション
WordPress 3.3.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 59048
ファイル名: wordpress_3_3_2.nasl
バージョン: 1.17
タイプ: remote
ファミリー: CGI abuses
公開日: 2012/5/9
更新日: 2021/1/19
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2012-2400
脆弱性情報
CPE: cpe:/a:wordpress:wordpress
必要な KB アイテム: www/PHP, installed_sw/WordPress, Settings/ParanoidReport
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2011/4/20
脆弱性公開日: 2012/4/20
参照情報
CVE: CVE-2011-4898, CVE-2011-4899, CVE-2012-0782, CVE-2012-0937, CVE-2012-1936, CVE-2012-2399, CVE-2012-2400, CVE-2012-2401, CVE-2012-2402, CVE-2012-2403, CVE-2012-2404, CVE-2012-3414