WordPress < 3.7.9 / 3.8.9 / 3.9.7 / 4.1.6 / 4.2.3 の複数の脆弱性
medium Nessus プラグイン ID 85082
Language:
概要
リモート Web サーバーで起動している PHP アプリケーションは、複数の脆弱性の影響を受けます。説明
そのバージョン番号によると、リモートの Web サーバーで起動している WordPress アプリケーションは、3.7.9 より前の 3.7.x、3.8.9 より前の 3.8.x、3.9.7 より前の 3.9.x、4.1.6 より前の 4.1.x、4.2.3 より前の 4.2.x のいずれかです。このため、以下の脆弱性の影響を受ける可能性があります。- ユーザーに入力を返す前に HTML タグに埋め込まれたショートコードが適切に処理されない Shortcode API での欠陥により、クロスサイトスクリプティング(XSS)の脆弱性が存在します。認証されているリモートの攻撃者がこれを悪用し、細工されたリクエストを利用して、ユーザーのブラウザセッションで任意のコードを実行する可能性があります。
(CVE-2015-5622)
- 認証されていないリモートのユーザーが任意のドラフトを作成できる Quick Draft での欠陥により、詳細不明な脆弱性が存在します。(CVE-2015-5623)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
WordPress 3.7.9 / 3.8.9 / 3.9.7 / 4.1.6 / 4.2.3 またはそれ以降にアップグレードしてください。参考資料
https://codex.wordpress.org/Version_3.7.9
https://codex.wordpress.org/Version_3.8.9
https://codex.wordpress.org/Version_3.9.7
https://codex.wordpress.org/Version_4.1.6
プラグインの詳細
深刻度: Medium
ID: 85082
ファイル名: wordpress_4_2_3.nasl
バージョン: 1.8
タイプ: remote
ファミリー: CGI abuses
公開日: 2015/7/29
更新日: 2021/1/19
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:wordpress:wordpress
必要な KB アイテム: installed_sw/WordPress, www/PHP, Settings/ParanoidReport
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2015/7/23
脆弱性公開日: 2015/7/23
参照情報
CVE: CVE-2015-5622, CVE-2015-5623