WordPress 複数 XSS

medium Nessus プラグイン ID 83351

概要

リモート Web サーバーで起動されている PHP アプリケーションは、複数のクロスサイトスクリプティング脆弱性の影響を受けます。

説明

そのバージョン番号によると、リモートの Web サーバーで起動している WordPress アプリケーションは、 3.7.8 より前の 3.7.x、3.8.8 より前の 3.8.x、3.9.6 より前の 3.9.x 、4.1.5 より前の 4.1.x、prior to 4.2.2 より前の 4.2.x のいずれかです。そのため、複数のクロスサイトスクリプティング脆弱性の影響を受ける可能性があります。

- Genericons アイコンフォントパッケージ内の HTML ファイルは、クロスサイトスクリプティング攻撃に対して脆弱です。このパッケージは、様々なテーマおよびプラグインで使用されます。

- 4.2.1 リリースで部分的に修正されたクロスサイトスクリプティングの脆弱性が存在します。

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

ソリューション

WordPress 3.7.8 / 3.8.8 / 3.9.6 / 4.1.5 / 4.2.2 またはそれ以降にアップグレードしてください。

関連情報

https://codex.wordpress.org/Version_3.7.8

https://codex.wordpress.org/Version_3.8.8

https://codex.wordpress.org/Version_3.9.6

https://codex.wordpress.org/Version_4.1.5

https://codex.wordpress.org/Version_4.2.2

https://wordpress.org/news/2015/05/wordpress-4-2-2/

プラグインの詳細

深刻度: Medium

ID: 83351

ファイル名: wordpress_4_2_2.nasl

バージョン: 1.14

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2015/5/12

更新日: 2021/1/19

構成: パラノイドモードの有効化

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.7

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:H/RL:OF/RC:C

CVSS スコアのソース: CVE-2015-8834

CVSS v3

リスクファクター: Medium

Base Score: 6.1

Temporal Score: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:wordpress:wordpress

必要な KB アイテム: www/PHP, installed_sw/WordPress, Settings/ParanoidReport

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2015/5/6

脆弱性公開日: 2015/4/27

参照情報

CVE: CVE-2015-3440, CVE-2015-8834

BID: 74334

EDB-ID: 36844