Понимание результатов WPScan и устранение уязвимостей

Toni Michel Caubet спросил: 28 апреля 2018 в 09:00 в: wordpress

У меня есть эти уязвимости

[!] Title: sitepress-multilingual-cms - Full Path Disclosure
    Reference: https://wpvulndb.com/vulnerabilities/6104
[i] Fixed in: 3.1.7.2

,

[!] Title: WPML <= 3.1.7.2 - Multiple Vulnerabilities (Including SQLi)
    Reference: https://wpvulndb.com/vulnerabilities/7843
    Reference: http://seclists.org/bugtraq/2015/Mar/60
    Reference: http://wpml.org/2015/03/wpml-security-update-bug-and-fix/
    Reference: http://packetstormsecurity.com/files/130810/
    Reference: http://klikki.fi/adv/wpml.html
    Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2314
    Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2791
    Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2792
    Reference: https://www.exploit-db.com/exploits/36414/
[i] Fixed in: 3.1.9

и

    [!] Title: WPML 2.9.3-3.2.6 - Cross-Site Scripting (XSS) in Accept-Language Header
    Reference: https://wpvulndb.com/vulnerabilities/8173
    Reference: http://blog.secupress.fr/en/xss-wpml-header-405.html
[i] Fixed in: 3.2.7

Согласно отчету, все они могут быть исправлены в версии 3.2.7, но у меня есть версия 3.9.4 и все еще получаю эти результаты.

Это мои текущие версии:

Итак, как мне избавиться от них?


1 ответ

Есть решение
ethicalhack3r ответил: 29 апреля 2018 в 10:28

Райан здесь. Один из разработчиков WPScan.

Похоже, что WPScan не смог обнаружить установленную версию плагина. Когда это произойдет, WPScan покажет предупреждение, а затем выведет все известные уязвимости для этого плагина. Это позволяет пользователю выполнять собственное расследование, а не потенциально вызывать результат False Negative.

Если вы посмотрите назад на выход WPScan, вы увидите предупреждение, в котором говорится:

Мы не смогли определить версию, чтобы все уязвимости были распечатаны