LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2208-1 wordpress

Bulletin d'alerte Debian

DLA-2208-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

11 mai 2020

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 959391.
Dans le dictionnaire CVE du Mitre : CVE-2020-11026, CVE-2020-11027, CVE-2020-11028, CVE-2020-11029.

Plus de précisions :

Plusieurs CVE ont été découverts dans le paquet src:wordpress.

• CVE-2020-11026

  Les fichiers avec un nom contrefait pour l'occasion lorsque téléchargés dans la section Media pouvaient conduire à une exécution de script lors de l’accession à un fichier. Cela nécessitait un utilisateur authentifié avec des droits de téléchargement de fichiers.

• CVE-2020-11027

  Le lien de réinitialisation du mot de passe envoyé par courriel à un utilisateur n’expirait pas après un changement de mot de passe d’utilisateur. Un accès au compte de courriel de l’utilisateur serait nécessaire au tiers malveillant pour une exécution réussie.

• CVE-2020-11028

  Certaines publications privées, précédemment publiques, pouvaient aboutir à une diffusion non authentifiée sous un ensemble de conditions particulières.

• CVE-2020-11029

  Une vulnérabilité dans la méthode stats() de class-wp-object-cache.php pouvait être exploitée pour exécuter des attaques par script intersite (XSS).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.1.30+dfsg-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.