LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1980-1 wordpress

Bulletin d'alerte Debian

DLA-1980-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

5 novembre 2019

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-17669, CVE-2019-17670, CVE-2019-17671, CVE-2019-17675.

Plus de précisions :

Plusieurs vulnérabilités dans wordpress, un outil de blog, ont été corrigées.

• CVE-2019-17669

  Une vulnérabilité SSRF (Server Side Request Forgery) est due à une validation d’URL ne considérant pas l’interprétation d’un nom comme une série de caractères hexadécimaux.

• CVE-2019-17670

  Une vulnérabilité SSRF (Server Side Request Forgery) a été signalée dans wp_validate_redirect(). Le chemin est à régulariser lors de la validation de l’emplacement pour les URL relatives.

• CVE-2019-17671

  La visualisation non authentifiée de certains contenus (billets privés ou brouillons) est possible parce que la propriété statique de requête est mal gérée.

• CVE-2019-17675

  Wordpress ne tient pas correctement compte de la confusion de type lors de la validation du référent dans les pages administratives. Cette vulnérabilité affecte la fonction check_admin_referer() de WordPress.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.1.28+dfsg-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.