LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-860-1 wordpress

Bulletin d'alerte Debian

DLA-860-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

17 mars 2017

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 857026.
Dans le dictionnaire CVE du Mitre : CVE-2017-6814, CVE-2017-6815, CVE-2017-6816.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog web. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-6814

  Vulnérabilité de script intersite (XSS) à l’aide de métadonnées de fichier média.

• CVE-2017-6815

  Caractères de contrôle pouvant leurrer la validation de redirection d’URL dans wp-includes/pluggable.php.

• CVE-2017-6816

  Fichiers imprévus pouvant être supprimés par des administrateurs en utilisant la fonctionnalité de suppression de greffon.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u14.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.