Ultimate Product Catalog Plugin for WordPress < 4.2.26 PHP 对象注入
high Nessus 插件 ID 105024
语言:
简介
远程 Web 服务器上正在运行受到 PHP 对象注入漏洞影响的 PHP 应用程序。描述
根据其自我报告的版本,远程 Web 服务器上运行的 Ultimate Product Catalog Plugin for WordPress 版本低于 4.2.26。因而会受到 PHP 对象注入漏洞的影响。未经身份验证的远程攻击者可利用此问题,注入 PHP 对象并执行任意代码。请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。
解决方案
升级版本到 Ultimate Product Catalog Plugin for WordPress 4.2.26 或更高版本。另见
https://dl.packetstormsecurity.net/1710-exploits/wpupc4224-inject.txt
插件详情
严重性: High
ID: 105024
文件名: wordpress_ultimate_product_catalogue_4225.nasl
版本: 1.4
类型: remote
系列: CGI abuses
发布时间: 2017/12/5
最近更新时间: 2018/8/8
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: High
基本分数: 8.3
时间分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/a:wordpress:wordpress, x-cpe:/a:ultimateproductcatalogue:ultimateproductcatalogue
必需的 KB 项: installed_sw/WordPress, www/PHP
可利用: true
易利用性: Exploits are available
补丁发布日期: 2017/10/31
漏洞发布日期: 2017/10/30