Bulletin d'alerte Debian

DSA-2190-1 wordpress -- Plusieurs vulnérabilités

Date du rapport :
11 mars 2011
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0700, CVE-2011-0701.
Plus de précisions :

Deux bogues de script intersite (XSS) et un éventuel problème de divulgation d'informations ont été découverts dans WordPress, un gestionnaire de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-0700

    Les entrées passées par le titre de l'article lors d'une action de Modification Rapide ou d'une Édition par lot et par les paramètres d'état de l'article, d'état du commentaire et d'état de ping ne sont pas correctement vérifiées avant l'utilisation. Certaines entrées passées à l'aide des mots-clés dans la métaboîte des mots-clés ne sont pas correctement vérifiées avant d'être renvoyées à l'utilisateur.

  • CVE-2011-0701

    WordPress applique incorrectement les restrictions d'accès aux utilisateurs lors d'un accès aux articles à l'aide de la méthode d'envoi de média, ce qui peut être utiliser pour divulguer par exemple le contenu d'articles privés ou de brouillons.

La distribution oldstable (Lenny) n'est pas concernée par ces problèmes.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.5+dfsg-0+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.0.5+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.