FreeBSD：wordpress -- 2 个 XSS 漏洞 (d86890da-f498-11e4-99aa-bcaec565249c)

high Nessus 插件 ID 83283

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Samuel Sidler 报告：

许多常用主题和插件中使用的 Genericons 图标字体程序包中包含容易受到跨站脚本攻击的 HTML 文件。现在，WordPress 安全团队已更新 WordPress.org 上托管的所有受影响主题和插件（包括 Twenty Fifteen 默认主题），通过删除此不必要的文件解决了此问题。为了帮助保护对 Genericons 的其他使用，WordPress 4.2.2 会主动扫描此 HTML 文件的 wp-content 目录并将其删除。由 Netsparker 的 Robert Abela 报告。

WordPress 4.2 及之前的版本受到一个危急跨站脚本漏洞的影响，可允许匿名用户危及站点安全。WordPress 4.2.2 中包括针对此问题的完整补丁。

此版本还包括针对在使用可视化编辑器时出现的潜在跨站脚本漏洞的增强防护。此问题由 Mahadev Subedi 报告。

解决方案

更新受影响的数据包。

另见

https://wordpress.org/news/2015/05/wordpress-4-2-2/

http://www.nessus.org/u?8cea7382

插件详情

严重性: High

ID: 83283

文件名: freebsd_pkg_d86890daf49811e499aabcaec565249c.nasl

版本: 2.5

类型: local

系列: FreeBSD Local Security Checks

发布时间: 2015/5/8

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:de-wordpress, p-cpe:/a:freebsd:freebsd:ja-wordpress, p-cpe:/a:freebsd:freebsd:ru-wordpress, p-cpe:/a:freebsd:freebsd:zh-wordpress-zh_cn, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:wordpress, p-cpe:/a:freebsd:freebsd:zh-wordpress-zh_tw

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/5/7

漏洞发布日期: 2015/5/7