WordPress < 3.6.1 多個弱點
high Nessus Plugin ID 69997
語系:
概要
遠端 Web 伺服器包含一個受多個弱點影響的 PHP 應用程式。說明
根據其版本號碼,遠端網頁伺服器上託管的 WordPress 安裝受到多個弱點影響:- 在有限情況和設定下可能發生不安全的 PHP 未序列化,其可導致遠端程式碼執行。(CVE-2013-4338)
- 開放重新導向/輸入驗證不足可允許攻擊者將使用者重新導向至惡意網站。
(CVE-2013-4339)
- 擁有作者角色的使用者可利用特製的要求,偽造看起來是由其他使用者發佈的貼文。(CVE-2013-4340)
- 作為避免跨網站指令碼攻擊的積極措施,附檔名 .swf、.exe、.htm 和 .html 都已從檔案上傳篩選出來。(CVE-2013-5738、CVE-2013-5739)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 WordPress 3.6.1 或更新版本。另請參閱
https://wordpress.org/news/2013/09/wordpress-3-6-1/
https://codex.wordpress.org/Version_3.6.1
https://seclists.org/fulldisclosure/2013/Dec/174
http://www.nessus.org/u?24ef6be5
https://core.trac.wordpress.org/changeset/25321
https://core.trac.wordpress.org/changeset/25322
https://core.trac.wordpress.org/changeset/25323
Plugin 詳細資訊
嚴重性: High
ID: 69997
檔案名稱: wordpress_3_6_1.nasl
版本: 1.20
類型: remote
系列: CGI abuses
已發布: 2013/9/19
已更新: 2021/1/19
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2013-4339
弱點資訊
CPE: cpe:/a:wordpress:wordpress
必要的 KB 項目: installed_sw/WordPress, www/PHP, Settings/ParanoidReport
可被惡意程式利用: true
可輕鬆利用: No exploit is required
修補程式發佈日期: 2013/9/11
弱點發布日期: 2013/9/10
參考資訊
CVE: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739