セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2190-1 wordpress

Debian セキュリティ勧告

DSA-2190-1 wordpress -- 複数の脆弱性

報告日時:

2011-03-11

影響を受けるパッケージ:

wordpress

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-0700, CVE-2011-0701.

詳細:

2 つの XSS および情報漏洩に繋がるバグが、ウェブログマネージャ WordPress に発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識して います。

• CVE-2011-0700

  Quick Edit または Bulk Edit 処理で送られた際のポストタイトル、お よび post_status, comment_status と ping_status パラメータが使 用前に適切にサニタイズされていないことが発見されました。 タグの meta-box 中の細工したタグがユーザに戻される際に適切にサニタイ ズされません。

• CVE-2011-0701

  WordPress が、media uploader 経由のポストのアクセスの際にユーザのアク セス制限を適切に適用しておらず、内容 (非公開や下書きなど) の情報漏洩 に悪用可能です。

旧安定版 (lenny) にはこれらの問題の影響はありません。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ ージョン 3.0.5+dfsg-0+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 3.0.5+dfsg-1 で修正されています。

直ぐに wordpress パッケージをアップグレードすることを勧めます。