Debians sikkerhedsbulletin

DSA-2190-1 wordpress -- flere sårbarheder

Rapporteret den:
11. mar 2011
Berørte pakker:
wordpress
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-0700, CVE-2011-0701.
Yderligere oplysninger:

To XSS-fejl og et potentielt informationsafsløringsproblem blev opdaget i WordPress, en weblogmanager. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-0700

    Inddata overført via indlægstitlen ved en Quick Edit- eller Bulk Edit-handling og via parametrene post_status, comment_status, og ping_status blev ikke på korrekt vis fornuftighedskontrolleret før deres anvendelse. Visse former for inddata overført via tags-meta-box blev ikke på korrekt vis fornuftighedskontrolleret før de blev sendt tilbage til brugeren.

  • CVE-2011-0701

    WordPress håndhævede på ukorrekt vis brugeradgangsbegrænsninger, når indlæg blev tilgået via medieuploaderen og kunne udnyttes til at afsløre indeholdet af eksempelvis private eller kladdeindlæg.

Den gamle stabile distribution (lenny) er ikke påvirket af disse problemer.

I den stabile distribution (squeeze), er disse problemer rettet i version 3.0.5+dfsg-0+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 3.0.5+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.