Bulletin d'alerte Debian

DLA-321-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2015
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5714, CVE-2015-5715.
Plus de précisions :

Divers problèmes de sécurité ont été corrigés dans la version Debian LTS (Squeeze) du système de gestion de contenu Wordpress.

  • CVE-2015-5714

    Une vulnérabilité de script intersite lors du traitement des étiquettes « shortcode » a été découverte.

    Le problème a été corrigé en ne permettant plus les éléments HTML non clos dans les attributs.

  • CVE-2015-5715

    Une vulnérabilité a été découverte permettant à des utilisateurs ne disposant pas des droits appropriés de publier des messages privés et de les rendre ineffaçables (sticky).

    Le problème a été corrigé dans le code XMLRPC de Wordpress en n'autorisant pas les messages privés ineffaçables.

  • Autre problème

    Une vulnérabilité de script intersite dans les tables de listes d'utilisateurs a été découverte.

    Le problème a été corrigé en protégeant les URL des adresses de courriel dans ces listes d'utilisateurs.