WordPress Plugin 'ThemeGrill Demo Importer' 1.3.4 < 1.6.3 資料庫移除和驗證繞過

high Nessus Plugin ID 133856

概要

遠端 WordPress 應用程式已安裝一個過時的外掛程式,其中包含一個資料庫移除和驗證繞過弱點。

說明

遠端主機上執行的 WordPress 應用程式有一個 1.3.4 版或更新但比 1.6.3 版本舊的 'ThemeGrill Demo Importer' 外掛程式。因此受到缺少驗證檢查,進而允許未經驗證的使用者將整個資料庫移除到其預設狀態,然後以系統管理員的身分自動登入。

解決方案

更新至 ThemeGrill Demo Importer Plugin 1.6.3 或更新版本,或透過系統管理儀表板移除外掛程式。

另請參閱

http://www.nessus.org/u?55397bff

Plugin 詳細資訊

嚴重性: High

ID: 133856

檔案名稱: wordpress_plugin_themegrill-demo-importer_1_6_3.nasl

版本: 1.1

類型: remote

系列: CGI abuses

已發布: 2020/2/21

已更新: 2020/2/21

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Based on analysis of the vulnerability.

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: manual

CVSS v3

風險因素: High

基本分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

弱點資訊

CPE: cpe:/a:wordpress:wordpress

必要的 KB 項目: installed_sw/WordPress, www/PHP

修補程式發佈日期: 2020/2/16

弱點發布日期: 2020/2/16