偵測

Mandriva Linux 安全性公告:wordpress (MDVSA-2013:189)

medium Nessus Plugin ID 67134

語系:

概要

遠端 Mandriva Linux 主機缺少安全性更新。

說明

更新版 wordpress 套件可修正安全性弱點:

Wordpress 是一個部落格工具和發佈平台,在 Wordpress 檢查受密碼保護之部落格貼文的密碼時,於其執行雜湊計算的方式中發現一個拒絕服務瑕疵。遠端攻擊者可提供特製的輸入,當 Wordpress 的密碼檢查機制處理該輸入時,會導致消耗過多的 CPU (CVE-2013-2173)。

針對 HTTP 要求的 SSRF 保護不充分,讓使用者能夠提供 URL,這會允許針對內部網路和其他網站的攻擊。這是與 CVE-2013-0235 相關工作的接續,該問題是專門針對 pingback 要求中的 SSRF,而且已在 3.5.1 中修正 (CVE-2013-2199)。

對使用者功能的檢查不充分,可允許他們在其自身使用者角色不允許發佈貼文的情況下發佈貼文;以及將貼文指派到其他作者 (CVE-2013-2200)。

逸出不充足可允許系統管理員透過上傳媒體檔案和外掛程式,來觸發跨網站指令碼弱點 (CVE-2013-2201)。

oEmbed 回應的處理容易受到 XXE 影響 (CVE-2013-2202)。

如果上傳目錄不是可寫入的,則透過 XHR 傳回的錯誤訊息資料會包含目錄的完整路徑 (CVE-2013-2203)。

MoxieCode (TinyMCE) MoxiePlayer 專案中的內容偽造 (CVE-2013-2204)。

SWFUpload 中的跨網域 XSS (CVE-2013-2205)。

解決方案

更新受影響的 wordpress 套件。

另請參閱

http://advisories.mageia.org/MGASA-2013-0198.html

Plugin 詳細資訊

嚴重性: Medium

ID: 67134

檔案名稱: mandriva_MDVSA-2013-189.nasl

版本: 1.11

類型: local

已發布: 2013/7/3

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:mandriva:linux:wordpress, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/7/2

參考資訊

CVE: CVE-2013-2173, CVE-2013-2199, CVE-2013-2200, CVE-2013-2201, CVE-2013-2202, CVE-2013-2203, CVE-2013-2204, CVE-2013-2205

BID: 60477, 60757, 60758, 60759, 60770, 60775, 60781, 60825

MDVSA: 2013:189