检测

WordPress 的 Jetpack 插件安全绕过

medium Nessus 插件 ID 73686

语言:

简介

远程 Web 服务器托管的 Web 应用程序受到安全绕过漏洞的影响。

描述

远程主机上安装的 WordPress Jetpack 插件受到由于“class.jetpack.php”脚本中缺陷导致的安全绕过漏洞的影响。这可允许未经认证的远程攻击者提交绕过访问控制的构建的 XML-RPC 请求,从而允许攻击者在站点上发帖子。

请注意,Nessus 没有测试此问题,而仅依赖于应用程序自我报告的版本号。

解决方案

升级到版本 1.9.4 / 2.0.6 / 2.1.4 / 2.2.7 / 2.3.7 /2.4.4 / 2.5.2 / 2.6.3 / 2.7.2 / 2.8.2 / 2.9.3 或更高版本。

另见

https://jetpack.com/2014/04/10/jetpack-security-update/

https://wordpress.org/plugins/jetpack/#changelog

插件详情

严重性: Medium

ID: 73686

文件名: wordpress_jetpack_security_bypass.nasl

版本: 1.9

类型: remote

系列: CGI abuses

发布时间: 2014/4/23

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2014-0173

漏洞信息

CPE: cpe:/a:automattic:jetpack, cpe:/a:wordpress:wordpress

必需的 KB 项: installed_sw/WordPress, www/PHP

易利用性: No exploit is required

补丁发布日期: 2014/4/10

漏洞发布日期: 2014/4/10

参考资料信息

CVE: CVE-2014-0173

BID: 66789