根據應用程式自我報告的版本號碼，偵測到的 WordPress 應用程式受到下列多個弱點影響：

 - $wpdb->prepare() 中的缺陷可建立不安全的查詢，進而導致外掛程式和主題的潛在 SQL 注入攻擊缺陷。

 - 存在多個跨網站指令碼 (XSS) 弱點，這是因不當清理使用者提供的輸入所致。未經驗證的遠端攻擊者可利用此弱點，使用特製的要求，在使用者的瀏覽器工作階段內，執行任意指令碼。

 - 在檔案解壓縮程式碼和自訂程式中存在多個路徑遊走弱點。遠端攻擊者可能可以讀取受網頁伺服器執行所使用權限限制的任意檔案。

 - 在使用者和術語編輯畫面上存在一個開放式重新導向缺陷。遠端攻擊者可惡意利用此弱點，誘騙使用者點擊特製的連結，進而將使用者重新導向至任意網站。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

自己報告されたバージョン番号によると、リモート Web サーバーで実行されている WordPress アプリケーションは、4.8.2 より前のものです。
したがって、以下の複数の脆弱性による影響を受けます。

  - $wpdb-> prepare（）の欠陥により、安全でないクエリが作成され、プラグインやテーマでSQLインジェクションの欠陥が発生する可能性があります。

  - ユーザー指定の入力が不適切なサニタイズされているため、複数のクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。 

  - ファイル解凍コードとカスタマイザに複数のパストラバーサルの脆弱性があります。リモートの攻撃者が、Webサーバーを実行する権限で任意のファイルを読み込む可能性があります。

  - オープンリダイレクトの欠陥がユーザーおよび条件の編集画面にあります。リモートの攻撃者がこれを悪用し、特別に細工されたリンクに従うようユーザーを誘導し、ユーザーを任意のWebサイトにリダイレクトする可能性があります。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

wordpress開発者による報告: 

4.8.2より前のバージョンのWordPressは、javascript:またはdata: URLを介したリンクモーダルでのクロスサイトスクリプティング攻撃に対して脆弱でした。

4.8.2より前のバージョンのWordPressでは、細工されたテンプレート名を介したテンプレートリストビューでのクロスサイトスクリプティング攻撃が可能でした。

4.8.2より前のバージョンのWordPressは、ZipArchiveコンポーネントとPclZipコンポーネントでのunzip操作中のディレクトリトラバーサル攻撃に対して脆弱でした。

4.8.2より前のバージョンのWordPressでは、細工されたプラグイン名を介したプラグインエディターでのクロスサイトスクリプティングが可能でした。

4.8.2より前のバージョンのWordPressでは、細工されたテーマファイル名を介したCustomizerコンポーネントでのディレクトリトラバーサル攻撃が可能でした。

4.8.2より前のバージョンのWordPressは、oEmbed検出におけるクロスサイトスクリプティングに対して脆弱でした。

4.8.2より前のバージョンのWordPressは、TinyMCEビジュアルエディターのショートコードを介したクロスサイトスクリプティング攻撃に対して脆弱でした。

WebブログツールであるWordpressで、複数の脆弱性が発見されました。これにより、リモート攻撃者がパストラバーサルの問題を悪用し、SQLインジェクションやさまざまなクロスサイトスクリプティング攻撃を行う可能性があります。

根據其自我報告的版本號碼，遠端 Web 伺服器上執行的 WordPress 應用程式版本比 4.8.2 舊。
因此，該應用程式受到多個弱點影響：

  - $wpdb->prepare() 中的缺陷可建立不安全的查詢，進而導致外掛程式和主題的潛在 SQL 插入缺陷。

  - 存在多個跨網站指令碼 (XSS) 弱點，這是因不當清理使用者提供的輸入所致。未經驗證的遠端攻擊者可利用此弱點，使用特製的要求，在使用者的瀏覽器工作階段內，執行任意指令碼。 

  - 在檔案解壓縮程式碼和自訂程式中存在多個路徑遊走弱點。遠端攻擊者可能可以讀取受網頁伺服器執行所使用權限限制的任意檔案。

  - 在使用者和術語編輯畫面上存在一個開放重新導向缺陷。遠端攻擊者可惡意利用此弱點，誘騙使用者點擊特製的連結，進而將使用者重新導向至任意網站。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 4.8.2。
因此，该服务器受到多个漏洞的影响：

  - $wpdb->prepare() 中存在一个缺陷，该缺陷可创建不安全的查询，从而可能导致插件和主题中出现 SQL 注入缺陷。

  - 由于未正确审查用户提供的输入，导致存在多个跨站脚本 (XSS) 漏洞。未经身份验证的远程攻击者可利用此问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。 

  - 文件解压缩代码和定制器中存在多个路径遍历漏洞。远程攻击者可以读取任意文件，这取决于 Web 服务器的运行权限。

  - 用户和术语编辑屏幕上存在公开重定向缺陷。远程攻击者可利用此漏洞，通过诱骗用户打开特别构建的链接将用户重定向到任意网站。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

在 Web 部落格工具 Wordpress 中發現數個弱點。遠端攻擊者可藉此惡意利用路徑遊走問題，執行 SQL 插入和各種跨網站指令碼攻擊。

已发现 Wordpress（一个 Web 博客工具）中存在多个漏洞。这些漏洞可允许远程攻击者利用路径遍历问题，执行 SQL 注入和各种跨站脚本攻击。

ID	名稱	產品	系列	已發布	已更新	嚴重性
98299	WordPress 4.3.x < 4.3.12 多個弱點	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
103358	WordPress < 4.8.2の複数の脆弱性	Nessus	CGI abuses	2017/9/20	2024/6/6	critical
103585	FreeBSD: wordpress -- 複数の問題（a48d4478-e23f-4085-8ae4-6b3a7b6f016b）	Nessus	FreeBSD Local Security Checks	2017/10/2	2021/1/4	high
103793	DebianDSA-3997-1：wordpress - セキュリティ更新	Nessus	Debian Local Security Checks	2017/10/12	2021/1/4	critical
103358	WordPress < 4.8.2 多個弱點	Nessus	CGI abuses	2017/9/20	2024/6/6	critical
103358	WordPress < 4.8.2 多个漏洞	Nessus	CGI abuses	2017/9/20	2024/6/6	critical
103793	Debian DSA-3997-1：wordpress - 安全性更新	Nessus	Debian Local Security Checks	2017/10/12	2021/1/4	critical
103793	Debian DSA-3997-1：wordpress - 安全更新	Nessus	Debian Local Security Checks	2017/10/12	2021/1/4	critical

偵測

搜尋 Plugin

critical

critical

high

critical

critical

critical

critical

critical