Bulletin d'alerte Debian

DLA-294-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :
19 août 2015
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2213, CVE-2015-5622, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire moteur de blog.

  • CVE-2015-2213

    Une injection SQL permettait à un attaquant distant de compromettre le site.

  • CVE-2015-5622

    La robustesse du filtre des étiquettes de « shortcodes » HTML a été améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre installation. Cela est la version corrigée du correctif qui devait être retirée dans la DSA 3328-2.

  • CVE-2015-5731

    Un attaquant pourrait verrouiller un envoi qui était en révision.

  • CVE-2015-5732

    Une attaque de script intersite dans un « widget title » permet à un attaquant de voler des informations sensibles.

  • CVE-2015-5734

    Correction de liens cassés dans le « Legacy Theme Preview ».

Ces problèmes ont été découverts par Marc-Alexandre Montpas de Sucuri, Helen Hou-Sandí de l'équipe de sécurité de WordPress, Netanel Rubin de Check Point, Ivan Grigorov, Johannes Schmitt de Scrutinizer et Mohamed A. Baset.

Nous vous recommandons de mettre à jour vos paquets wordpress.