根據應用程式自我報告的版本號，偵測到的 WordPress 應用程式受到跨網站指令碼 (XSS) 弱點影響，這是註解中的輸入清理不充分所導致。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 5.1.1 之前的 WordPress 未正确过滤注释内容导致未经身份验证的用户在默认配置中进行远程代码执行。这个问题之所以会发生，是因为 CSRF 保护处理不当，而且也是因为 A 元素的搜索引擎优化 (Search Engine Optimization) 未正确执行，进而导致 XSS。该 XSS 导致管理访问权限从而允许对 .php 文件进行任意更改。这与 wp-admin/includes/ajax-actions.php 和 wp-includes/comment.php 相关。 (CVE-2019-9787)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Simon Scannell of Ripstech Technologies discovered multiple vulnerabilities in wordpress, a web blogging manager.

CVE-2019-8942

remote code execution in wordpress because an _wp_attached_file Post Meta entry can be changed to an arbitrary string, such as one ending with a .jpg?file.php substring. An attacker with author privileges can execute arbitrary code by uploading a crafted image containing PHP code in the Exif metadata.

CVE-2019-9787

wordpress does not properly filter comment content, leading to Remote Code Execution by unauthenticated users in a default configuration.
This occurs because CSRF protection is mishandled, and because Search Engine Optimization of A elements is performed incorrectly, leading to XSS. The XSS results in administrative access.

For Debian 8 'Jessie', these problems have been fixed in version 4.1.26+dfsg-1+deb8u1.

We recommend that you upgrade your wordpress packages.

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

According to its self-reported version number, the WordPress application running on the remote web server is affected by multiple vulnerabilities:

  - A cross-site request forgery (XSRF) vulnerability     exists in the comment form due to improper validation. A     remote attacker can exploit this by tricking a user into     visiting a specially crafted web page, allowing the     attacker to create comments on the administrator's     behalf. (CVE-2019-9787)

  - A cross-site scripting (XSS) vulnerability exists due     to improper validation of user-supplied input before     returning it to users. An unauthenticated, remote     attacker can exploit this, by convincing a user to     click a specially crafted URL, to execute arbitrary     script code in a user's browser session.

自己報告されたバージョン番号によると、検出された WordPress アプリケーションは、コメントにおける不十分な入力サニタイズにより、クロスサイトスクリプティング (XSS) の脆弱性による影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているWordPressアプリケーションは複数の脆弱性の影響を受けます。- コメントフォームで不適切な検証が行われているため、クロスサイトリクエストフォージェリ（XSRF）の脆弱性があります。リモートの攻撃者がこれを悪用し、ユーザーを誘導して特別に細工したWebページにアクセスさせることで、攻撃者が管理者の代わりにコメントを作成する可能性があります。- ユーザー指定の入力をユーザーに返す前に不適切に検証しているため、クロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたURLをクリックするようユーザーを誘導して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。

Ripstech TechnologiesのSimon Scannell氏は、Webブログ管理者のwordpressに複数の脆弱性を発見しました。CVE-2019-8942：wordpressでは_wp_attached_file Post Metaエントリを.jpg?file.phpサブストリングで終わるような任意の文字列に変更できるため、リモートでコードが実行される可能性があります。作成者権限を持つ攻撃者は、ExifメタデータにPHPコードを含む細工された画像をアップロードすることで、任意のコードを実行する可能性があります。CVE-2019-9787：wordpressはコメントのコンテンツを適切にフィルタリングしないため、デフォルトの構成で認証されていないユーザーによってリモートでコードが実行される可能性があります。これは、CSRF保護が不適切に処理され、A要素の検索エンジンの最適化が正しく実行されず、XSSを引き起こすために発生します。XSSにより管理アクセス権が取得されます。Debian 8「Jessie」では、これらの問題はバージョン4.1.26+dfsg-1+deb8u1で修正されました。お使いのwordpressパッケージをアップグレードすることを推奨します。注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

在 Web 部落格工具 Wordpress 中發現數個弱點。遠端攻擊者可以藉此發動各種跨網站指令碼 (XSS) 攻擊和跨網站要求偽造 (CSRF) 攻擊，在伺服器上建立檔案，洩漏私密資訊，建立開放重新導向，損害快取，以及繞過授權存取和輸入清理。

根據其自我報告的版本號碼，遠端網頁伺服器上執行的 WordPress 應用程式受到多個弱點影響：- 註解表中有一個跨網站要求偽造 (XSRF) 弱點，這是因為不當驗證所導致。遠端攻者可加以惡意利用，透過引誘使用者造訪特製的網頁，讓攻擊者得以代表管理員建立註解。- 存在一個跨網站指令碼 (XSS) 弱點，這是因為未正確驗證使用者提供的輸入，便將其傳回給使用者所導致。未經驗證的遠端攻擊者可惡意利用此弱點，誘騙使用者按一下特製的 URL，藉此在使用者的瀏覽器工作階段中執行任意指令碼。

Ripstech Technologies 的 Simon Scannell 在 wordpress (一種 Web 部落格管理程式) 中發現多個弱點。CVE-2019-8942 由於可將 _wp_attached_file Post Meta 項目變更為任意字串 (如以.jpg?file.php 子字串結尾的字串)，所以可在 wordpress 中執行遠端程式碼。具備作者權限的攻擊者可在 Exif 中繼資料中上傳含有 PHP 程式碼的特製影像，以執行任意程式碼。CVE-2019-9787 wordpress 未適當篩選意見內容，導致未經驗證的使用者可在預設的組態中進行遠端程式碼執行。這個問題之所以會發生，是因為 CSRF 防護處理不當，而且也是因為 A 元素的搜尋引擎最佳化 (Search Engine Optimization) 未正確執行，因而導致 XSS。XSS 會造成管理存取權限問題。針對 Debian 8「Jessie」，這些問題已在 4.1.26+dfsg-1+deb8u1 版本中修正。建議您升級 wordpress 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序受到多个漏洞的影响：- 注释窗体中存在一个跨站请求伪造 (XSRF) 漏洞，这是由不当验证所致。远程攻者可加利用此漏洞，通过诱骗用户访问特制的网页，使攻击者自己得以代表管理员创建注释。- 存在一个跨站脚本 (XSS) 漏洞，这是因为未正确验证用户提供的输入，便将其返回给用户所导致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码。

Ripstech Technologies 的 Simon Scannell 在 wordpress（一种 Web 博客管理器）中发现多个漏洞。CVE-2019-8942 由于可将 _wp_attached_file Post Meta 条目变更为任意字符串（如以.jpg?file.php 子字符串结尾的字符串），所以可在 wordpress 中执行远程代码。有作者权限的攻击者可在 Exif 元数据中上传含有 PHP 代码的特制图像，进而执行任意代码。CVE-2019-9787 wordpress 未适当筛选评论内容，导致未经身份验证的用户可在默认配置中进行远程代码执行。这个问题之所以会发生，是因为 CSRF 保护处理不当，而且也是因为 A 元素的搜索引擎优化 (Search Engine Optimization) 未正确执行，进而导致 XSS。XSS 会造成管理访问权限问题。对于 Debian 8“Jessie”，这些问题已在 4.1.26+dfsg-1+deb8u1 版本中修复。我们建议您升级 wordpress 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98384	WordPress 4.3.x < 4.3.19 跨網站指令碼	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98387	WordPress 4.6.x < 4.6.14 跨網站指令碼	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98388	WordPress 4.7.x < 4.7.13 跨網站指令碼	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
255105	Linux Distros 未修补的漏洞：CVE-2019-9787	Nessus	Misc.	2025/8/25	2025/8/25	high
123529	Debian DLA-1742-1 : wordpress security update	Nessus	Debian Local Security Checks	2019/4/1	2021/1/11	high
122823	WordPress < 5.1.1 Multiple Vulnerabilities	Nessus	CGI abuses	2019/3/14	2025/5/14	high
98248	WordPress 4.1.x < 4.1.26 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98249	WordPress 4.2.x < 4.2.23 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98384	WordPress 4.3.x < 4.3.19 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98387	WordPress 4.6.x < 4.6.14 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
98388	WordPress 4.7.x < 4.7.13 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/14	2023/3/14	high
122823	WordPress < 5.1.1の複数の脆弱性	Nessus	CGI abuses	2019/3/14	2025/5/14	high
123529	Debian DLA-1742-1：wordpressセキュリティ更新プログラム	Nessus	Debian Local Security Checks	2019/4/1	2021/1/11	high
136373	Debian DSA-4677-1：wordpress - 安全性更新	Nessus	Debian Local Security Checks	2020/5/7	2024/3/13	critical
122823	WordPress < 5.1.1 多個弱點	Nessus	CGI abuses	2019/3/14	2025/5/14	high
123529	Debian DLA-1742-1：wordpress 安全性更新	Nessus	Debian Local Security Checks	2019/4/1	2021/1/11	high
122823	WordPress < 5.1.1 多个漏洞	Nessus	CGI abuses	2019/3/14	2025/5/14	high
123529	Debian DLA-1742-1：wordpress 安全更新	Nessus	Debian Local Security Checks	2019/4/1	2021/1/11	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

high

high

high

high

critical

high

high

high

high