Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3472-1 wordpress

Bulletin d'alerte Debian

DSA-3472-1 wordpress -- Mise à jour de sécurité

Date du rapport :

8 février 2016

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 813697.
Dans le dictionnaire CVE du Mitre : CVE-2016-2221, CVE-2016-2222.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-2221

  Shailesh Suthar a découvert une vulnérabilité de redirection non contrôlée.

• CVE-2016-2222

  Ronni Skansing a découvert une vulnérabilité de contrefaçon de requête côté serveur (« server-side request forgery », SSRF).

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u10.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.4.2+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.