Debians sikkerhedsbulletin
DSA-2757-1 wordpress -- flere sårbarheder
- Rapporteret den:
- 14. sep 2013
- Berørte pakker:
- wordpress
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 722537.
I Mitres CVE-ordbog: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739. - Yderligere oplysninger:
-
Flere sårbarheder blev registreret i Wordpress, et webbloggingværktøj. Da CVE'erne blev tildelt ud fra udgivelsesannonceringer og specifikke rettelser normalt ikke angives, har man besluttet at opgradere Wordpress-pakken til den seneste opstrømsversion, i stedet for at tilbageføre rettelserne.
Det betyder at man skal være særlig omhyggelig under opgraderingen, især når man benytter tredjepartsplugins eller -temaer, forbi kompabiliteten kan være påvirket. Vi anbefaler at brugerne kontrollerer deres installering, før opgraderingen gennemføres.
- CVE-2013-4338
Usikker PHP-afserialisering i wp-includes/functions.php kunne forårsage udførelse af vilkårlig kode.
- CVE-2013-4339
Utilstrækkelig fornuftighedskontrol af inddata kunne medføre viderestilling eller at få en bruger sendt til et andet websted.
- CVE-2013-4340
Rettighedsforøgelse gjorde det muligt for en bruger med author-rollen, at oprette en post, der udgiver sig for at være skrevet af en anden bruger.
- CVE-2013-5738
Utilstrækkelige muligheder var krævet for at kunne uploade .html-/.html-filer, hvilket gjorde det lettere for autentificereede brugere at udføre skriptangreb på tværs af websteder (XSS), ved at anvende fabrikerede HTML-filuploads.
- CVE-2013-5739
Wordpress' standardopsætning gjorde det muligt at uploade .swf-/.exe-filer, hvilket gjorde det lettere for autentificerede brugere at udføre skriptangreb på tværs af websteder (XSS).
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.6.1+dfsg-1~deb6u1.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u1.
I distributionen testing (jessie), er disse problemer rettet i version 3.6.1+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 3.6.1+dfsg-1.
Vi anbefaler at du opgraderer dine wordpress-pakker.
- CVE-2013-4338