検出

WordPress forum_functions.php「topic_id」パラメーター SQLi 用の WP Symposium プラグイン

high Nessus プラグイン ID 85629

Language:

概要

リモート Web サーバーは、SQL インジェクション脆弱性の影響を受ける Web アプリケーションをホストしています。

説明

ユーザー指定の入力を、forum_functions.php スクリプトの「topic_id」パラメーターへ適切にサニタイズできなかった場合、リモートホストにインストールされた WordPress WP Symposium プラグインは、SQL インジェクション脆弱性の影響を受けます。承認されていないリモートの攻撃者がこの問題を悪用し、影響を受けたアプリケーションに対してブラインド SQL インジェクション攻撃を仕掛け、任意のデータの操作や漏洩を引き起こす可能性があります。

ソリューション

WordPress WP Symposium Plugin バージョン 15.8 または以降にアップグレードしてください。

参考資料

https://seclists.org/fulldisclosure/2015/Aug/33

https://plugins.trac.wordpress.org/changeset/1214869

プラグインの詳細

深刻度: High

ID: 85629

ファイル名: wordpress_wp_symposium_topic_id_sqli.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2015/8/25

更新日: 2021/1/19

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:wpsymposium:wp_symposium, cpe:/a:wordpress:wordpress

必要な KB アイテム: installed_sw/WordPress, www/PHP

パッチ公開日: 2015/8/7

脆弱性公開日: 2015/8/10