Säkerhetsbulletin från Debian
DSA-2757-1 wordpress -- flera sårbarheter
- Rapporterat den:
- 2013-09-14
- Berörda paket:
- wordpress
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 722537.
I Mitres CVE-förteckning: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739. - Ytterligare information:
-
Flera sårbarheter har upptäckts i Wordpress, ett bloggverktyg för webben. Eftersom CVEerna allokerades från utgåvetillkännagivanden och specifika rättningar vanligtvis inte identifieras har det beslutats att uppgradera wordpresspaketet till senaste uppströmsversionen istället för att bakåtportera felrättningarna.
Detta betyder att man skall vara extra försiktig när man uppgraderar, speciellt när man använder insticksmoduler eller teman från tredje part, eftersom kompatibiliteten kan ha påverkats under gången. Vi rekommenderar att användare kontrollerar sin installation innan de uppgraderar.
- CVE-2013-4338
Osäker PHP-avserialisering i wp-includes/functions.php kunde orsaka exekvering av skadlig kod.
- CVE-2013-4339
Otillräcklig validering av indata kunde resultera i omdirigering eller ledning av en användare till en annan webbplats.
- CVE-2013-4340
Privilegieeskalering vilket tillät en användare med författarrollen att skapa ett inlägg som framstog som om det hade skapats av en annan användare.
- CVE-2013-5738
Otillräckliga möjligheter krävdes för att ladda upp .html/.html-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS) med hjälp av upladdning av skapade html-filer.
- CVE-2013-5739
Wordpress standardkonfiguration tillät uppladdningar av .swf/.exe-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS).
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.6.1+dfsg-1~deb6u1.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u1.
För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.6.1+dfsg-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 3.6.1+dfsg-1.
Vi rekommenderar att ni uppgraderar era wordpress-paket.
- CVE-2013-4338