Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3375-1 wordpress

Bulletin d'alerte Debian

DSA-3375-1 wordpress -- Mise à jour de sécurité

Date du rapport :

19 octobre 2015

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 799140.
Dans le dictionnaire CVE du Mitre : CVE-2015-5714, CVE-2015-5715, CVE-2015-7989.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire moteur de blog.

• CVE-2015-5714

  Une vulnérabilité de script intersite lors du traitement des étiquettes de shortcodes a été découverte.

  Le problème a été corrigé en n'autorisant plus les éléments HTML non clos dans les attributs.

• CVE-2015-5715

  Une vulnérabilité a été découverte permettant à des utilisateurs ne disposant pas des droits appropriés de publier des messages privés et de les rendre ineffaçables (sticky).

  Le problème a été corrigé dans le code XMLRPC de Wordpress en n'autorisant pas les messages privés ineffaçables.

• CVE-2015-7989

  Une vulnérabilité de script intersite dans les tables de listes d'utilisateurs a été découverte.

  Le problème a été corrigé en protégeant les URL des adresses courriel dans ces listes d'utilisateurs.

Pour la distribution oldstable (Wheezy), ces problèmes seront corrigés dans une mise à jour ultérieure.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u5.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.3.1+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.3.1+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.