リモート Web サーバーが、 6.33 より前の 6.x または 7.31 より前の 7.x のバージョンの Drupal を実行しています。このため、複数のサービス拒否脆弱性の影響を受ける可能性があります：

- Drupal の XML-RPC ライブラリにより、エンティティ拡張中の再帰を考慮しないエンティティ宣言が可能です。
 リモートの攻撃者が、大量のネスト化されたエンティティ参照を持つ細工された XML ドキュメントを使用して、利用可能なメモリと CPU リソースを消費することでサービス拒否を引き起こす可能性があります。（CVE-2014-5265）

- Drupal の XML-RPC ライブラリは、XML ドキュメントの要素の数を制限しません。リモートの攻撃者が、大きなドキュメントを通じて、CPU 消費によるサービス拒否を引き起こす可能性があります。（CVE-2014-5266）

- 「xmlrpc.php」に、パーサーが信頼できないソースからの XML 内部エンティティを受け入れることによる、XML インジェクションの欠陥が存在します。リモートの攻撃者がこれを悪用して、特別に細工された XML データを通じてサービス拒否を引き起こす可能性があります。
 この脆弱性は、Drupal OpenID モジュール内にも存在します。

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

SA-CORE-2014-004 用の Upstream 7.31 リリースに更新してください。これはバグ修正リリースです。完全な詳細については、以下の URL を参照してください：
https://www.drupal.org/drupal-7.30-release-notes

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

複数のセキュリティ問題が、Web ブログツールの WordPress で見つかっています。これにより、サービス拒否または情報漏洩が発生します。詳細については、次の Upstream アドバイザリを参照してください：https://wordpress.org/news/2014/08/wordpress-3-9-2/

- Drupal 6.33 に更新します。

- Drupal 6.33 リリースノートは下記より参照できます。 https://www.drupal.org/drupal-6.33-release-notes.

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

複数のセキュリティ問題が、Web ブログツールの WordPress で見つかっています。これにより、サービス拒否または情報漏洩が発生します。

詳細については、次の upstream アドバイザリを参照してください：https://wordpress.org/news/2014/08/wordpress-3-9-2/

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

そのバージョン番号によると、リモートWeb サーバーにホストされている WordPress アプリケーションは、複数の脆弱性の影響を受けます：

- 「getid3.lib.php」に、パーサーが信頼できないソースからの XML 外部エンティティを受け入れることによる、XML インジェクションの欠陥が存在します。特別に細工された XML データを使用して、リモートの攻撃者が、機密情報にアクセスしたり、サービス拒否を引き起こしたりする可能性があります。これは、3.7.4 と 3.8.4 を除く 3.6 ～ 3.9.1 のバージョンに影響を与えます。

- パーサーが XML 内部エンティティを適切に検証せずに受け入れることによる、XML インジェクションの欠陥が「xmlrpc.php」に存在します。特別に細工された XML を使用して、リモートの攻撃者が、サービス拒否を引き起こす可能性があります。
 これは、3.7.4 と 3.8.4 を除く 1.5 ～ 3.9.1 のバージョンに影響を与えます。

- ウィジットを処理する際に、スクリプト「/src/wp-includes/class-wp-customize-widgets.php」に安全でないシリアル化の欠陥が存在しています。これにより、リモートの攻撃者は、任意のコードを実行する可能性があります。バージョン 3.9 および 3.9.1 非デフォルト構成が影響を受けています。

- デリミタで個々に分離しておらず、時定数で nonce を比較していないため、CSRF トークンの構築を行う際に欠陥が存在しています。これにより、リモートの攻撃者がブルートフォース攻撃を仕掛けることや、CSRF トークンを漏洩する可能性があります。これは、3.7.4 と 3.8.4 を除く 2.0.3 ～ 3.9.1 のバージョンに影響を与えます。

- アバターからの入力がユーザー戻される前に検証されない、「/src/wp-includes/pluggable.php」内のスクリプトの「get_avatar」関数に、クロスサイトスクリプティングの欠陥が存在しています。特別に細工されたリクエストを使用して、認証された攻撃者が、ブラウザ/サーバー信頼関係内で任意のスクリプトコードを実行する可能性があります。これは、バージョン 3.9.1 に影響を与えます。

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

Upstream のお知らせ：
http://wordpress.org/news/2014/08/wordpress-3-9-2/

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

完全機能のコンテンツ管理フレームワークである Drupal に、サービス拒否の脆弱性が発見されました。リモートの攻撃者がこの欠陥を悪用して、CPU およびメモリ消耗を生じさせ、サイトのデータベースのオープンコネクションを最大数まで引き上げることにより、サイトを利用不可または応答不能にする可能性があります。詳細については、次の URL を参照してください：https://www.drupal.org/SA-CORE-2014-004

SA-CORE-2014-004 用の Upstream 7.31 リリースに更新してください。これはバグ修正リリースです。完全な詳細については、以下を参照してください：
https://www.drupal.org/drupal-7.30-release-notes

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 3.9.2 より前の WordPress および 6.x より前の Drupal [ 6.33 および 7.x より前の 7.31で使用される Incutio XML-RPCIXRライブラリは、エンティティ拡張中の再帰を考慮しないエンティティ宣言を許可します。これにより、リモートの攻撃者は、拒否を引き起こすことができます。多数のネスト化されたエンティティ参照を含む細工された XML ドキュメントを介したサービスメモリおよび CPU 消費を利用する可能性があります。これは、 と類似の問題です CVE-2003-1564。
    (CVE-2014-5265)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
77186	Drupal 6.x < 6.33 / 7.x < 7.31 XML-RPC DoS	Nessus	CGI abuses	2014/8/13	2022/4/11	medium
77314	Fedora 20：drupal7-7.31-1.fc20（2014-9278）	Nessus	Fedora Local Security Checks	2014/8/22	2021/1/11	medium
77102	Debian DSA-3001-1：wordpress - セキュリティ更新	Nessus	Debian Local Security Checks	2014/8/10	2021/1/11	high
77948	Fedora 20：drupal6-6.33-1.fc20（2014-9281）	Nessus	Fedora Local Security Checks	2014/9/29	2021/1/11	medium
82202	Debian DLA-56-1：wordpress セキュリティ更新	Nessus	Debian Local Security Checks	2015/3/26	2021/1/11	high
77157	WordPress < 3.7.4 / 3.8.4 / 3.9.2 複数の脆弱性	Nessus	CGI abuses	2014/8/12	2025/5/14	high
77312	Fedora 20 : wordpress-3.9.2-3.fc20 (2014-9264)	Nessus	Fedora Local Security Checks	2014/8/22	2021/1/11	high
77347	Fedora 19 : wordpress-3.9.2-3.fc19 (2014-9270)	Nessus	Fedora Local Security Checks	2014/8/23	2021/1/11	high
77100	Debian DSA-2999-1：drupal7 - セキュリティ更新	Nessus	Debian Local Security Checks	2014/8/10	2021/1/11	medium
77313	Fedora 19：drupal7-7.31-1.fc19（2014-9277）	Nessus	Fedora Local Security Checks	2014/8/22	2021/1/11	medium
248128	Linux Distros のパッチ未適用の脆弱性: CVE-2014-5265	Nessus	Misc.	2025/8/11	2025/8/11	high

検出

プラグインの検索

medium

medium

high

medium

high

high

high

high

medium

medium

high