Bulletin d'alerte Debian

DLA-2429-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :
3 novembre 2020
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 973562.
Dans le dictionnaire CVE du Mitre : CVE-2020-28032, CVE-2020-28033, CVE-2020-28034, CVE-2020-28035, CVE-2020-28036, CVE-2020-28037, CVE-2020-28038, CVE-2020-28039, CVE-2020-28040.
Plus de précisions :

Plusieurs vulnérabilités on été signalées à l’encontre de wordpress :

  • CVE-2020-28032

    WordPress avant la version 4.7.19 gère incorrectement les requêtes de désérialisation dans wp-includes/Requests/Utility/FilteredIterator.php.

  • CVE-2020-28033

    WordPress avant la version 4.7.19 gère incorrectement les encapsulations des sites désactivés d’un réseau multisite, comme le montre l’autorisation d’un pourriel encapsulé.

  • CVE-2020-28034

    WordPress avant la version 4.7.19 permet un script intersite (XSS) associé avec des variables globales.

  • CVE-2020-28035

    WordPress avant la version 4.7.19 permet à des attaquants d’élever leurs privilèges à l’aide du protocole XML-RPC.

  • CVE-2020-28036

    wp-includes/class-wp-xmlrpc-server.php dans WordPress avant la version 4.7.19 permet à des attaquants d’élever leurs privilèges en utilisant le protocole XML-RPC pour commenter une publication.

  • CVE-2020-28037

    is_blog_installed dans wp-includes/functions.php dans WordPress avant la version 4.7.19 détermine improprement si WordPress est déjà installé. Cela pourrait permettre à un attaquant de réaliser une nouvelle installation, conduisant à une exécution de code à distance (ainsi qu’à un déni de service pour l’ancienne installation).

  • CVE-2020-28038

    WordPress avant la version 4.7.19 permet le stockage d’XSS à l’aide d’identifiants (slugs) de publication.

  • CVE-2020-28039

    is_protected_meta dans wp-includes/meta.php dans WordPress avant la version 4.7.19 permet une suppression de fichier arbitraire car il ne détermine pas correctement si une clé méta est considérée comme protégée.

  • CVE-2020-28040

    WordPress avant la version 4.7.19 permet des attaques CSRF changeant l’image d’arrière-plan de thème.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.7.19+dfsg-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.