WordPress حتى 3.7.1/3.8.1 Plupload publish_post تجاوز الصلاحيات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
الملخص
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في WordPress حتى 3.7.1/3.8.1. تتأثر الوظيفة $software_function من المكون Plupload. عند التلاعب بالوسيط publish_post ينتج تجاوز الصلاحيات.
يتم تداول هذه الثغرة تحت اسم CVE-2014-0165. يمكن شن الهجوم عن بُعد. لا يوجد استغلال متاح.
يُفضل ترقية المكون المصاب.
التفاصيل
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في WordPress حتى 3.7.1/3.8.1. تتأثر الوظيفة $software_function من المكون Plupload. عند التلاعب بالوسيط publish_post ينتج تجاوز الصلاحيات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-264. المشكلة تم نشرها بتاريخ 08/04/2014 بواسطة Szymon Gruszecki (edik) كـ WordPress 3.8.2 Security Release كـ News (موقع إلكتروني). الاستشارة متوفرة هنا wordpress.org. تم الاتفاق مع البائع على النشر العلني.
يتم تداول هذه الثغرة تحت اسم CVE-2014-0165. تم تخصيص CVE في 03/12/2013. يمكن شن الهجوم عن بُعد. التفاصيل التقنية متوفرة. لا يوجد استغلال متاح. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1068.
في حال وجود غير معرفة، يتم الإعلان عنه كـ غير معرفة. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $5k-$25k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 73471. ينتمي إلى عائلة CGI abuses. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق12914 (WordPress Versions Prior to 3.7.2 and 3.8.2 Multiple Security Vulnerabilities).
يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 3.7.2, 3.8.2 , 3.9rc1. يمكنك تنزيل الإصدار المحدث من wordpress.org. يُفضل ترقية المكون المصاب.
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 66765), X-Force (92514), Secunia (SA57769), Vulnerability Center (SBV-44159) , Tenable (73471).
منتج
النوع
الأسم
النسخة
الرخصة
موقع إلكتروني
- منتج: https://wordpress.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 3.5VulDB الدرجة المؤقتة للميتا: 3.4
VulDB الدرجة الأساسية: 3.5
VulDB الدرجة المؤقتة: 3.4
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 73471
Nessus الأسم: WordPress < 3.7.2 / 3.8.2 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
OpenVAS ID: 867733
OpenVAS الأسم: Fedora Update for wordpress FEDORA-2014-5028
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: WordPress 3.7.2/3.8.2/3.9rc1
الجدول الزمني
03/12/2013 🔍08/04/2014 🔍
08/04/2014 🔍
08/04/2014 🔍
08/04/2014 🔍
09/04/2014 🔍
10/04/2014 🔍
11/04/2014 🔍
11/04/2014 🔍
20/04/2014 🔍
10/05/2026 🔍
المصادر
منتج: wordpress.comاستشارة: WordPress 3.8.2 Security Release
باحث: Szymon Gruszecki (edik)
الحالة: مؤكد
تأكيد: 🔍
منسق: 🔍
CVE: CVE-2014-0165 (🔍)
GCVE (CVE): GCVE-0-2014-0165
GCVE (VulDB): GCVE-100-12868
OVAL: 🔍
IAVM: 🔍
X-Force: 92514
SecurityFocus: 66765 - WordPress Multiple Security Vulnerabilities
Secunia: 57769 - WordPress Multiple Vulnerabilities, Moderately Critical
Vulnerability Center: 44159 - WordPress Before 3.8.2 and 3.7.2 Remote Security Bypass Vulnerability, Medium
متفرقات: 🔍
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 11/04/2014 09:55 AMتم التحديث: 10/05/2026 05:04 AM
التغييرات: 11/04/2014 09:55 AM (86), 25/05/2017 07:10 PM (5), 16/06/2021 07:48 PM (3), 10/05/2026 05:04 AM (15)
كامل: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق