偵測

WordPress < 3.3.2 多個弱點

critical Nessus Plugin ID 59048

語系:

概要

遠端 Web 伺服器上有一個 PHP 應用程式受到多個弱點影響。

說明

根據其版本號碼,遠端網頁伺服器上託管的 WordPress 安裝受到多個弱點影響:

 - 應用程式受到 wp-includes/js/swfupload/swfupload.swf 中的一個不明弱點影響。
 (CVE-2012-2399)

 - 應用程式受到 wp-includes/js/swfobject.js 中的一個不明弱點影響。
 (CVE-2012-2400)

 - 應用程式的 Plupload 版本早於 1.5.4,無論 SWF 內容載入的網域為何其都會啟用指令碼,遠端攻擊者可藉此透過特別建構的內容繞過同源原則。(CVE-2012-2401)

 - 應用程式受到一個安全性繞過弱點影響。若能成功惡意利用此問題,會允許網站系統管理員停用全網路外掛程式。此問題需要應用程式在 WordPress 網路中執行。(CVE-2012-2402)

 - 應用程式容易受到多個跨網站指令碼弱點影響。攻擊者可使用特製的註解,且應用程式在 URL 可以點選時會受到影響。
 (CVE-2012-2403、CVE-2012-2404)

請注意,報告指出 CVE-2011-4898、CVE-2011-4899、CVE-2012-0782、CVE-2012-0937 和 CVE-2012-1936 會影響 WordPress 3.3.1 和之前的版本,但是目前 CVE 存有爭議,沒有明確的解決方案。建議您更新至 WordPress 最新的可用版本。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 WordPress 3.3.2 或更新版本。

另請參閱

https://wordpress.org/news/2012/04/wordpress-3-3-2/

https://codex.wordpress.org/Version_3.3.2

Plugin 詳細資訊

嚴重性: Critical

ID: 59048

檔案名稱: wordpress_3_3_2.nasl

版本: 1.17

類型: remote

系列: CGI abuses

已發布: 2012/5/9

已更新: 2021/1/19

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2012-2400

弱點資訊

CPE: cpe:/a:wordpress:wordpress

必要的 KB 項目: www/PHP, installed_sw/WordPress, Settings/ParanoidReport

可輕鬆利用: No exploit is required

修補程式發佈日期: 2011/4/20

弱點發布日期: 2012/4/20

參考資訊

CVE: CVE-2011-4898, CVE-2011-4899, CVE-2012-0782, CVE-2012-0937, CVE-2012-1936, CVE-2012-2399, CVE-2012-2400, CVE-2012-2401, CVE-2012-2402, CVE-2012-2403, CVE-2012-2404, CVE-2012-3414

BID: 53192, 58417, 54245

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990