FreeBSD: wordpress -- 複数の脆弱性(14ea4458-e5cd-11e6-b56d-38d547003487)
critical Nessus プラグイン ID 96850
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Aaron D. Campbell による報告:WordPressバージョン4.7.1以前は、3つのセキュリティ問題の影響を受けます:
- Pressでタクソノミータームを割り当てるためのユーザーインターフェイス。これを使用する権限がないユーザーに表示されます。
- WP_Queryは、安全でないデータを渡す際のSQLインジェクション(SQLi)に対して脆弱です。WordPressコアはこの問題に対して直接的に脆弱ではありませんが、プラグインとテーマが偶発的に脆弱性を引き起こすことを防ぐために強化を追加しました。
- 投稿リストテーブルで、クロスサイトスクリプティング(XSS)の脆弱性が発見されました。
- REST APIエンドポイントで、認証されていない権限昇格の脆弱性が発見されました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.openwall.com/lists/oss-security/2017/01/28/5
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
プラグインの詳細
深刻度: Critical
ID: 96850
ファイル名: freebsd_pkg_14ea4458e5cd11e6b56d38d547003487.nasl
バージョン: 3.7
タイプ: local
公開日: 2017/1/30
更新日: 2021/1/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:de-wordpress, p-cpe:/a:freebsd:freebsd:ja-wordpress, p-cpe:/a:freebsd:freebsd:ru-wordpress, p-cpe:/a:freebsd:freebsd:zh-wordpress-zh_cn, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:wordpress, p-cpe:/a:freebsd:freebsd:zh-wordpress-zh_tw
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2017/1/29
脆弱性公開日: 2017/1/26