Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3328-1 wordpress

Bulletin d'alerte Debian

DSA-3328-1 wordpress -- Mise à jour de sécurité

Date du rapport :

4 août 2015

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 784603.
Dans le dictionnaire CVE du Mitre : CVE-2015-3429, CVE-2015-5622, CVE-2015-5623.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Wordpress, le populaire moteur de blog.

• CVE-2015-3429

  Le fichier example.html dans le paquet de la police d'icônes Genericicons et le thème Twenty Fifteen de Wordpress permettaient une attaque par script intersite.

• CVE-2015-5622

  La robustesse du filtre des étiquettes de « shortcodes » HTML a été améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre installation.

• CVE-2015-5623

  Une vulnérabilité de script intersite permettait à des utilisateurs avec le rôle de contributeur ou d'auteur d'augmenter leurs droits.

La distribution oldstable (Wheezy) est seulement affectée par CVE-2015-5622. Ce problème moins critique sera corrigé plus tard.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.3+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.