Hướng dẫn wordpress 5.5 6 vulnerabilities - wordpress 5.5 6 lỗ hổng

Chi tiết plugin

Mức độ nghiêm trọng: caoHigh

ID: 112969112969

Loại: từ xaremote

Xuất bản: 9/10/20219/10/2021

Cập nhật: 26/10/202210/26/2022

Mẫu quét: PCI, API, quétpci, api, scan

Thông tin rủi ro

Vpr

Yếu tố rủi ro: caoHigh

Điểm: 7.47.4

CVSS v2

Yếu tố rủi ro: Trung bìnhMedium

Điểm cơ sở: 6,56.5

Vector: CVSS2#AV: N/AC: L/AU: S/C: P/I: P/A: PCVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS v3

Yếu tố rủi ro: caoHigh

Điểm: 7.47.2

CVSS v2CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Yếu tố rủi ro: Trung bình

Điểm cơ sở: 6,5cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*

Vector: CVSS2#AV: N/AC: L/AU: S/C: P/I: P/A: PNo known exploits are available

CVSS v39/9/2021

Điểm cơ sở: 7.29/9/2021

Vector: cvss: 3.0/av: n/ac: l/pr: h/ui: n/s: u/c: h/i: h/a: h

Thông tin dễ bị tổn thươngCVE-2020-28500, CVE-2021-23337, CVE-2021-39201, CVE-2021-39200

CPE: CPE: 2.3: A: WordPress: WordPress:*:*:*:*:*:*:*:*200, 79

Khai thác dễ dàng: Không có khai thác nào được biết đếnCross-Site Scripting, Information Leakage

Ngày xuất bản bản vá: 9/9/20212010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2017-A6, 2013-A5, 2010-A6, 2021-A6, 2021-A1, 2021-A3

Ngày xuất bản lỗ hổng: 9/9/20212019-API7

Tài liệu tham khảo164.306(a)(1), 164.306(a)(2)

CVE: CVE-2020-28500, CVE-2021-23337, CVE-2021-39201, CVE-2021-39200APSC-DV-002630, APSC-DV-000460, APSC-DV-002490

CWE: 200, 794.0.2-14.2.1, 4.0.2-8.3.4, 4.0.2-5.3.3

WASC: kịch bản chéo trang, rò rỉ thông tin3.2-6.2, 3.2-6.5.8, 3.2-6.5.7

OWASP: 2010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2017-A6, 2013-A5, 2010-A6, 2021-A6, 2021-A1, 2021-A327001-A.14.2.5

OWASP API: 2019-API7116, 13, 169, 22, 224, 285, 287, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 312, 313, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 472, 497, 508, 573, 574, 575, 576, 577, 59, 60, 616, 643, 646, 651, 79, 209, 588, 591, 592, 63, 85

HIPAA: 164.306 (a) (1), 164.306 (a) (2)sp800_53-CM-6b, sp800_53-SI-10, sp800_53-SI-15

Không yêu cầuMột phần Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở. Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 7# CVE ID CWE ID # Khai thác (Các) loại dễ bị tổn thương Ngày xuất bản Cập nhật ngày tháng Ghi bàn Đạt được mức độ truy cập Truy cập Sự phức tạp
1 Xác thực89 Conf. Số nguyên. Tận dụng.

6.5

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.
2 Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 774 # Số nguyên. Tận dụng.

6.5

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.
3 Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 779 # Số nguyên. Tận dụng.

3.5

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnKhông có
Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.
4 Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 789 Conf. Số nguyên. Tận dụng.

5.0

Không cóXaVừa phảiKhông yêu cầuMột phầnKhông cóKhông có
Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.
5 Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 7 # CVE ID CWE ID

7.5

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
Không yêu cầu
6 Một phần # CVE ID CWE ID

6.0

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
Một phần
7 Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.79 # CVE ID CWE ID

3.5

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnKhông có
Một phần
8 Trong WordPress trước 5.2.3, xác thực và vệ sinh URL trong wp_validate_redirect trong wp-includes/pluggable.php có thể dẫn đến chuyển hướng mở.79 Tổng số lỗ hổng: 345 & nbsp; Trang: 1 (trang này) 2 3 4 5 6 7 CVE ID CWE ID

3.5

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. ### Tác động Vấn đề cho phép người dùng được xác thực nhưng đặc quyền thấp (như người đóng góp/tác giả) để thực thi XSS trong trình soạn thảo. Điều này bỏ qua các hạn chế áp đặt cho người dùng không có quyền đăng `Uniltered_html`. ### Bản vá Điều này đã được vá trong WordPress 5.8 và sẽ được đẩy sang các phiên bản cũ hơn thông qua các bản phát hành nhỏ (cập nhật tự động). Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa. ### TÀI LIỆU THAM KHẢO Trong [HackerOne] (https://hackerone.com/wordpress)
9 CVE-2021-39200200 +Thông tin2021-09-092021-12-14

4.3

Không cóXaVừa phảiKhông yêu cầuMột phầnKhông cóKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
10 CVE-2021-29450200 +Thông tin2021-09-092021-12-14

4.0

Không cóXaVừa phảiKhông yêu cầuMột phầnKhông cóKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
11 CVE-2021-29450611 2021-09-092021-12-14

4.0

Không cóXaVừa phảiKhông yêu cầuMột phầnKhông cóKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
12 CVE-2021-29450502 2021-04-152021-04-23

7.5

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
13 CVE-2021-2945020 2021-04-152021-04-23

0.0

Không cóKhông yêu cầuKhông yêu cầuKhông yêu cầuKhông yêu cầuKhông yêu cầuKhông yêu cầu
Một phần
14 WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.352 CVE-2021-294502021-04-152021-04-23

4.3

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
15 CVE-2021-29450 2021-04-152021-04-23

6.4

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnMột phần
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
16 CVE-2021-2945079 2021-04-152021-04-152021-04-23

4.3

Không cóXaVừa phảiKhông yêu cầuKhông cóMột phầnKhông có
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
17 CVE-2021-29450754 2021-04-152021-04-152021-04-23

7.5

Không cóXaVừa phảiKhông yêu cầuMột phầnMột phầnMột phần
WordPress là một hệ thống quản lý nội dung nguồn miễn phí và nguồn được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc Mariadb. Trong các phiên bản bị ảnh hưởng, dữ liệu đầu ra của hàm wp_die () có thể bị rò rỉ trong một số điều kiện nhất định, có thể bao gồm dữ liệu như không phải. Sau đó, nó có thể được sử dụng để thực hiện các hành động thay mặt bạn. Điều này đã được vá trong WordPress 5.8.1, cùng với bất kỳ phiên bản bị ảnh hưởng cũ nào thông qua các bản phát hành nhỏ. Chúng tôi khuyên bạn nên bật tự động cập nhật để nhận sửa chữa.
18 CVE-2020-28036862 +Riêng tư2020-11-022022-04-28

7.5

Không cóXaThấpKhông yêu cầuMột phầnMột phầnMột phần
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
19 CVE-2020-28035 +Riêng tư2020-11-022022-04-28

7.5

Không cóXaThấpKhông yêu cầuMột phầnMột phầnMột phần
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
20 CVE-2020-2803579 WordPress trước 5.5.2 cho phép kẻ tấn công đạt được đặc quyền thông qua XML-RPC.2020-11-02CVE-2020-28034

4.3

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
Xa
21 Thấp 2020-11-02CVE-2020-28034

5.0

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
22 CVE-2020-28035502 2020-11-02CVE-2020-28034

7.5

Không cóXaThấpKhông yêu cầuMột phầnMột phầnMột phần
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
23 CVE-2020-28035 WordPress trước 5.5.2 cho phép kẻ tấn công đạt được đặc quyền thông qua XML-RPC.CVE-2020-28034

5.0

Không cóXaThấpKhông yêu cầuMột phầnKhông cóKhông có
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
24 CVE-2020-2803579 WordPress trước 5.5.2 cho phép kẻ tấn công đạt được đặc quyền thông qua XML-RPC.CVE-2020-28034 XSS

3.5

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.
25 CVE-2020-2803579 WordPress trước 5.5.2 cho phép kẻ tấn công đạt được đặc quyền thông qua XML-RPC.CVE-2020-28034 XSS

4.3

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
Không yêu cầu
26 Một phần306 CVE-2020-28034 XSS

4.3

Không cóXaThấpKhông yêu cầuMột phầnKhông cóKhông có
Không yêu cầu
27 Một phần640 CVE-2020-28034 XSS

5.5

Không cóXaThấpKhông yêu cầuMột phầnMột phầnKhông có
Một phần
28 WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.79 WordPress trước 5.5.2 cho phép kẻ tấn công đạt được đặc quyền thông qua XML-RPC.CVE-2020-28034 XSS

3.5

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
Một phần
29 WP-Includes/Class-WP-XMLRPC-server.php trong WordPress trước 5.5.2 cho phép kẻ tấn công có được đặc quyền bằng cách sử dụng XML-RPC để nhận xét trên một bài đăng.79 CVE-2020-28035CVE-2020-28034 XSS

3.5

Không cóXaThấpKhông yêu cầuKhông cóMột phầnKhông có
Một phần
30 CVE-2020-4050288 2020-06-122020-09-11

6.0

Không cóXaVừa phải???Một phầnMột phầnMột phần
Trong các phiên bản bị ảnh hưởng của WordPress, việc sử dụng sai giá trị trả về của bộ lọc `set-set-sotion` cho phép các trường meta của người dùng tùy ý được lưu. Nó yêu cầu một quản trị viên cài đặt một plugin sẽ sử dụng sai bộ lọc. Sau khi được cài đặt, nó có thể được tận dụng bởi người dùng đặc quyền thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).
31 CVE-2020-404980 XSS2020-06-122020-12-23

3.5

Không cóXaVừa phải???Không cóMột phầnKhông có
Xa
32 Vừa phải601 2020-06-122020-09-11

4.9

Không cóXaVừa phải???Một phầnMột phầnKhông có
Trong các phiên bản bị ảnh hưởng của WordPress, việc sử dụng sai giá trị trả về của bộ lọc `set-set-sotion` cho phép các trường meta của người dùng tùy ý được lưu. Nó yêu cầu một quản trị viên cài đặt một plugin sẽ sử dụng sai bộ lọc. Sau khi được cài đặt, nó có thể được tận dụng bởi người dùng đặc quyền thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).
33 CVE-2020-404980 2020-06-122020-09-11

3.5

Không cóXaVừa phải???Không cóMột phầnKhông có
Trong các phiên bản bị ảnh hưởng của WordPress, việc sử dụng sai giá trị trả về của bộ lọc `set-set-sotion` cho phép các trường meta của người dùng tùy ý được lưu. Nó yêu cầu một quản trị viên cài đặt một plugin sẽ sử dụng sai bộ lọc. Sau khi được cài đặt, nó có thể được tận dụng bởi người dùng đặc quyền thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).
34 CVE-2020-404980 2020-06-12 XSS

3.5

Không cóXaVừa phải???Không cóMột phầnKhông có
Trong các phiên bản bị ảnh hưởng của WordPress, việc sử dụng sai giá trị trả về của bộ lọc `set-set-sotion` cho phép các trường meta của người dùng tùy ý được lưu. Nó yêu cầu một quản trị viên cài đặt một plugin sẽ sử dụng sai bộ lọc. Sau khi được cài đặt, nó có thể được tận dụng bởi người dùng đặc quyền thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).
35 CVE-2020-4049269 XSS2020-12-23 Trong các phiên bản bị ảnh hưởng của WordPress, khi tải lên các chủ đề, tên của thư mục chủ đề có thể được chế tạo theo cách có thể dẫn đến thực thi JavaScript trong /WP-admin trên trang chủ đề. Điều này đòi hỏi một quản trị viên để tải lên chủ đề và là mức độ nghiêm trọng thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

5.0

Không cóXaCVE-2020-4048 Trong các phiên bản bị ảnh hưởng của WordPress, do một vấn đề trong WP_VALIDATE_REDIRECT () và khử trùng URL, một liên kết bên ngoài tùy ý có thể được tạo ra dẫn đến chuyển hướng ngoài dự đoán/mở khi nhấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).Không cóMột phầnKhông có
Trong các phiên bản bị ảnh hưởng của WordPress, việc sử dụng sai giá trị trả về của bộ lọc `set-set-sotion` cho phép các trường meta của người dùng tùy ý được lưu. Nó yêu cầu một quản trị viên cài đặt một plugin sẽ sử dụng sai bộ lọc. Sau khi được cài đặt, nó có thể được tận dụng bởi người dùng đặc quyền thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).
36 CVE-2020-404979 XSS2020-12-23 Trong các phiên bản bị ảnh hưởng của WordPress, khi tải lên các chủ đề, tên của thư mục chủ đề có thể được chế tạo theo cách có thể dẫn đến thực thi JavaScript trong /WP-admin trên trang chủ đề. Điều này đòi hỏi một quản trị viên để tải lên chủ đề và là mức độ nghiêm trọng thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

4.3

Không cóXaVừa phải Trong các phiên bản bị ảnh hưởng của WordPress, do một vấn đề trong WP_VALIDATE_REDIRECT () và khử trùng URL, một liên kết bên ngoài tùy ý có thể được tạo ra dẫn đến chuyển hướng ngoài dự đoán/mở khi nhấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).Không cóMột phầnKhông có
CVE-2020-4047
37 Trong các phiên bản bị ảnh hưởng của WordPress, người dùng được xác thực có quyền tải lên (như tác giả) có thể đưa JavaScript vào một số trang đính kèm tệp phương tiện theo một cách nhất định. Điều này có thể dẫn đến thực thi tập lệnh trong bối cảnh của người dùng đặc quyền cao hơn khi tệp được xem bởi họ. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).20 XSS2020-12-23 Trong các phiên bản bị ảnh hưởng của WordPress, khi tải lên các chủ đề, tên của thư mục chủ đề có thể được chế tạo theo cách có thể dẫn đến thực thi JavaScript trong /WP-admin trên trang chủ đề. Điều này đòi hỏi một quản trị viên để tải lên chủ đề và là mức độ nghiêm trọng thấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

7.5

Không cóXaCVE-2020-4048 Trong các phiên bản bị ảnh hưởng của WordPress, do một vấn đề trong WP_VALIDATE_REDIRECT () và khử trùng URL, một liên kết bên ngoài tùy ý có thể được tạo ra dẫn đến chuyển hướng ngoài dự đoán/mở khi nhấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).Một phầnMột phầnMột phần
CVE-2020-4047
38 Trong các phiên bản bị ảnh hưởng của WordPress, người dùng được xác thực có quyền tải lên (như tác giả) có thể đưa JavaScript vào một số trang đính kèm tệp phương tiện theo một cách nhất định. Điều này có thể dẫn đến thực thi tập lệnh trong bối cảnh của người dùng đặc quyền cao hơn khi tệp được xem bởi họ. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).352 CVE-2020-40462020-07-01 Trong các phiên bản bị ảnh hưởng của WordPress, người dùng có đặc quyền thấp (như người đóng góp và tác giả) có thể sử dụng khối nhúng theo một cách nhất định để tiêm HTML chưa được lọc trong trình chỉnh sửa khối. Khi các bài đăng bị ảnh hưởng được xem bởi một người dùng đặc quyền cao hơn, điều này có thể dẫn đến thực thi tập lệnh trong trình chỉnh sửa/wp-admin. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

6.8

Không cóXaVừa phải Trong các phiên bản bị ảnh hưởng của WordPress, do một vấn đề trong WP_VALIDATE_REDIRECT () và khử trùng URL, một liên kết bên ngoài tùy ý có thể được tạo ra dẫn đến chuyển hướng ngoài dự đoán/mở khi nhấp. Điều này đã được vá trong phiên bản 5.4.2, cùng với tất cả các phiên bản bị ảnh hưởng trước đó thông qua một bản phát hành nhỏ (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).Một phầnMột phầnMột phần
CVE-2020-4047
39 CVE-2019-1767479 XSS2019-10-172020-01-08

3.5

Không cóXaVừa phải???Không cóXaKhông có
Xa
40 Vừa phải 2019-10-172020-01-08

5.0

Không cóXaVừa phải???Không cóXaKhông có
Xa
41 Vừa phải79 XSS2019-10-172020-01-08

4.3

Không cóXaVừa phải???Không cóXaKhông có
Xa
42 Vừa phải200 ???2019-10-17Một phần

5.0

Không cóXaVừa phải???XaKhông cóKhông có
Vừa phải
43 ???918 2019-10-17Một phần

7.5

Không cóXaVừa phải???XaXaXa
Vừa phải
44 ???918 2019-10-17Một phần

7.5

Không cóXaVừa phải???XaXaXa
Vừa phải
45 ???79 Một phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.2020-01-08

3.5

Không cóXaVừa phải???Không cóXaKhông có
Vừa phải
46 ???79 Một phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.2020-01-08

3.5

Không cóXaVừa phải???Không cóXaKhông có
Vừa phải
47 ???79 XSSMột phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.

3.5

Không cóXaVừa phải???Không cóXaKhông có
CVE-2019-17673
48 2022-03-3179 XSSMột phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.

4.3

Không cóXaVừa phải???Không cóXaKhông có
Một phần
49 WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.79 XSSMột phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.

4.3

Không cóXaVừa phải???Không cóXaKhông có
Một phần
50 WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.601 Một phần WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.

5.8

Không cóXaVừa phải???XaXaKhông có
Một phần

WordPress trước 5.2.4 dễ bị tổn thương bởi XSS được lưu trữ (tập lệnh chéo trang) thông qua tùy chỉnh.345   Page : 1 (This Page)2 3 4 5 6 7