適用於 WordPress 的 W3 Total Cache 外掛程式快取金鑰 XSS
medium Nessus Plugin ID 80553
語系:
概要
遠端 Web 伺服器託管的一個 PHP 指令碼受到跨網站指令碼弱點的影響。說明
遠端 web 伺服器上執行的 W3 Total Cache 外掛程式 (適用於 WordPress) 無法正確清理使用者向啟用 ‘Page cache debug info’ 時顯示的 HTML 註解中 ‘Cache key’ 提供的輸入。攻擊者可惡意利用此弱點,在使用者的瀏覽器內容中執行任意指令碼。請注意,據報 WordPress 的外掛程式也受到多個跨網站要求偽造 (XSRF) 弱點影響,不過 Nessus 尚未針對這些弱點進行測試。
解決方案
升級至 0.9.4.1 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 80553
檔案名稱: wordpress_w3_total_cache_debug_xss.nasl
版本: 1.7
類型: remote
系列: CGI abuses : XSS
已發布: 2015/1/15
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:wordpress:wordpress, cpe:/a:w3edge:total_cache
必要的 KB 項目: installed_sw/WordPress, www/PHP
可被惡意程式利用: true
可輕鬆利用: No exploit is required
修補程式發佈日期: 2014/12/10
弱點發布日期: 2014/12/10
參考資訊
CVE: CVE-2014-8724
BID: 71665