WordPress < 3.0.1 安全绕过

low Nessus 插件 ID 72960

简介

远程 Web 服务器包含受到安全绕过漏洞影响的 PHP 应用程序。

描述

根据其版本号,托管在远程 Web 服务器上的 WordPress 安装受到安全绕过漏洞的影响。

使用多站点安装时无法关闭已启用的“site administrators can add users”选项。这允许经过认证的远程管理员绕过预期访问限制。

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 WordPress 3.0.1 或更高版本。

另见

https://core.trac.wordpress.org/ticket/14119

https://core.trac.wordpress.org/changeset/15342

https://codex.wordpress.org/Version_3.0.1

https://wordpress.org/news/2010/07/wordpress-3-0-1/

插件详情

严重性: Low

ID: 72960

文件名: wordpress_3_0_1.nasl

版本: 1.9

类型: remote

系列: CGI abuses

发布时间: 2014/3/12

最近更新时间: 2024/6/5

配置: 启用偏执模式

支持的传感器: Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N

漏洞信息

CPE: cpe:/a:wordpress:wordpress

必需的 KB 项: installed_sw/WordPress, www/PHP, Settings/ParanoidReport

排除的 KB 项: Settings/disable_cgi_scanning

易利用性: No exploit is required

补丁发布日期: 2010/7/29

漏洞发布日期: 2010/6/27

参考资料信息

CVE: CVE-2010-5297

BID: 65234