LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-568-1 wordpress

Bulletin d'alerte Debian

DLA-568-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

29 juillet 2016

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 828225.
Dans le dictionnaire CVE du Mitre : CVE-2016-5387, CVE-2016-5832, CVE-2016-5834, CVE-2016-5835, CVE-2016-5838, CVE-2016-5839.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans WordPress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-5387

  WordPress permet à des attaquants distants de contourner des restrictions d'accès voulues et de retirer un attribut de catégorie d'un envoi à l'aide de vecteurs non précisés.

• CVE-2016-5832

  L'outil de personnalisation dans WordPress permet à des attaquants distants de contourner des restrictions de redirection voulues à l'aide de vecteurs non précisés.

• CVE-2016-5834

  Une vulnérabilité de script intersite (XSS) dans la fonction wp_get_attachment_link dans wp-includes/post-template.php dans WordPress permet à des attaquants distants d'injecter un script web arbitraire ou du code HTML à l'aide d'un nom de pièce jointe contrefait.

• CVE-2016-5835

  WordPress permet à des attaquants distants d'obtenir des informations sensibles de l'historique des modifications en exploitant la capacité de lire un envoi liée à wp-admin/includes/ajax-actions.php et wp-admin/revision.php.

• CVE-2016-5838

  WordPress permet à des attaquants distants de contourner des restrictions voulues de modification de mot de passe en exploitant la connaissance d'un cookie.

• CVE-2016-5839

  WordPress permet à des attaquants distants de contourner le mécanisme de protection sanitize_file_name à l'aide de vecteurs non précisés.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u11.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.