Рекомендация Debian по безопасности

DLA-321-1 wordpress -- обновление безопасности LTS

Дата сообщения:
30.09.2015
Затронутые пакеты:
wordpress
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5714, CVE-2015-5715.
Более подробная информация:

В версии Wordpress, системы управления содержимым, из Debian LTS (squeeze) были обнаружены различные проблемы безопасности.

  • CVE-2015-5714

    Был обнаружен межсайтовый скриптинг при обработке сокращённых тегов.

    Проблема была исправлена путём запрета незакрытых элементов HTML в атрибутах.

  • CVE-2015-5715

    Была обнаружена уязвимость, позволяющая пользователям без соответствующих прав доступа публиковать закрытые сообщения и прикреплять их.

    Проблема была исправлена в коде XMLRPC Wordpress путём запрета прикрепления закрытых сообщений.

  • Другие проблемы

    Был обнаружен межсайтовый скриптинг в таблицах списков пользователей.

    Проблема была исправлена путём экранирования URL адресов электронной почты в списках пользователей.