Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3375-1 wordpress

Säkerhetsbulletin från Debian

DSA-3375-1 wordpress -- säkerhetsuppdatering

Rapporterat den:

2015-10-19

Berörda paket:

wordpress

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 799140.
I Mitres CVE-förteckning: CVE-2015-5714, CVE-2015-5715, CVE-2015-7989.

Ytterligare information:

Flera sårbarheter har rättats i Wordpress, den populära bloggmotorn.

• CVE-2015-5714

  En serveröverskridande skriptsårbarhet vid behandling av shortcodetaggar har upptäckts.

  Problemet har rättats genom att inte tillåta icke-stängda HTML-element i attribut.

• CVE-2015-5715

  En sårbarhet som tillåter användare utan ordentliga rättigheter att publicera privata inlägg och göra dem klibbiga har upptäckts.

  Problemet har rättats i XMLRPC-koden i Wordpress genom att inte tillåta privata poster att vara klibbiga.

• CVE-2015-7989

  En serveröverskridande skriptsårbarhet i användarlisttabeller har upptäckts.

  Problemet har rättats genom att URL-avsluta e-postadresser i dessa användarlistor.

För den gamla stabila utgåvan (Wheezy) kommer dessa problem att rättas i en senare uppdatering.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.1+dfsg-1+deb8u5.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 4.3.1+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.3.1+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.