自己報告によるバージョン番号によると、検出された WordPress アプリケーションは、次の複数の脆弱性の影響を受けます。

 - class-wp-press-this.phpスクリプトに、タクソノミータームを割り当てるためのユーザーインターフェイスを適切に制限できないことによる情報漏洩の脆弱性があります。認証されたリモートの攻撃者がこれを悪用して、機密情報を漏洩させる可能性があります。(CVE-2017-5610)

 - 入力を投稿タイプ名にサニタイズできないため、SQLインジェクション (SQLi)の脆弱性がclass-wp-query.phpスクリプトにあります。認証されていないリモートの攻撃者がこれを悪用し、バックエンドデータベースで SQL クエリを挿入または操作することで、任意のデータを漏洩または操作する可能性があります。(CVE-2017-5611)

 - 投稿リストテーブルに対する入力の検証が不適切なため、スクリプトに class-wp-posts-list-table.php クロスサイトスクリプティング (XSS) の脆弱性が存在します。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介してユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。 (CVE-2017-5612)

 - ブログ投稿を編集または削除するときにユーザー指定の入力が「id」パラメーターに適切にサニタイズされないため、REST APIに権限昇格の脆弱性があります。認証されていないリモートの攻撃者がこの問題を悪用し、任意のPHPコードの実行、ブログ投稿へのコンテンツの挿入、ブログ投稿属性の変更、またはブログ投稿の削除を行う可能性があります。 (CVE-2017-1001000)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 4.7.2。
因此，该服务器受到多个漏洞的影响：

  - class-wp-press-this.php 脚本中存在一个信息泄露漏洞，这是未能正确限制分配分类术语的用户界面所致。经认证的远程攻击者可利用此漏洞泄露敏感信息。
    (CVE-2017-5610)

  - class-wp-query.php 脚本中存在一个 SQL 注入 (SQLi) 漏洞，这是无法审查帖子类型名称的输入所致。未经身份验证的远程攻击者可利用此问题，在后端数据库中注入或操纵 SQL 查询，进而导致泄露或操纵任意数据。
    (CVE-2017-5611)

  - 脚本中存在一个跨站脚本 (XSS) 漏洞， class-wp-posts-list-table.php这是未正确验证帖子列表表格的输入所致。未经身份验证的远程攻击者可利用此问题，通过特别构建的请求在用户浏览器会话中执行任意脚本代码。(CVE-2017-5612)

  - REST API 中存在一个权限提升漏洞，这是在编辑或删除博客帖子时，无法正确审查用户提供的“id”参数输入所致。未经身份验证的远程攻击者可利用此问题，执行任意 PHP 代码、在博客帖子中插入内容、修改博客帖子属性，或删除博客帖子。(CVE-2017-1001000)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98262	WordPress 4.6.x< 4.6.3 の複数の脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
98264	WordPress 4.4.x< 4.4.7 の複数の脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
98267	WordPress 4.1.x< 4.1.15 の複数の脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
98269	WordPress 3.9.x< 3.9.16 の複数の脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
98270	WordPress 3.8.x< 3.8.18 の複数の脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	critical
96906	WordPress < 4.7.2 多个漏洞	Nessus	CGI abuses	2017/1/31	2025/5/14	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical