Debian セキュリティ勧告

DSA-2190-1 wordpress -- 複数の脆弱性

報告日時:
2011-03-11
影響を受けるパッケージ:
wordpress
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-0700, CVE-2011-0701.
詳細:

2 つの XSS および情報漏洩に繋がるバグが、ウェブログマネージャ WordPress に発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識して います。

  • CVE-2011-0700

    Quick Edit または Bulk Edit 処理で送られた際のポストタイトル、お よび post_status, comment_statusping_status パラメータが使 用前に適切にサニタイズされていないことが発見されました。 タグの meta-box 中の細工したタグがユーザに戻される際に適切にサニタイ ズされません。

  • CVE-2011-0701

    WordPress が、media uploader 経由のポストのアクセスの際にユーザのアク セス制限を適切に適用しておらず、内容 (非公開や下書きなど) の情報漏洩 に悪用可能です。

旧安定版 (lenny) にはこれらの問題の影響はありません。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ ージョン 3.0.5+dfsg-0+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 3.0.5+dfsg-1 で修正されています。

直ぐに wordpress パッケージをアップグレードすることを勧めます。