Multiples vulnérabilités dans WordPress

Gestion du document

Référence	CERTA-2009-AVI-281
Titre	Multiples vulnérabilités dans WordPress
Date de la première version	16 juillet 2009
Date de la dernière version	16 juillet 2009
Source(s)	Bulletin de mise à jour WordPress 2.8.1 du 9 juillet 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
atteinte à l'intégrité des données ;
atteinte à la confidentialité des données ;
élévation de privilèges ;
injection de code indirecte.

Systèmes affectés

WordPress version 2.8.1 et antérieures ;
WordPress version MU 2.7.1 et antérieures.

Résumé

Plusieurs vulnérabilités permettant, entre autres, la réalisation d'injection de code indirecte et de contourner la politique de sécurité ont été corrigées.

Description

Plusieurs vulnérabilités ont été corrigées dont une concernant un défaut de traitement des URL. Elle permet d'accéder à des données confidentielles au moyen d'une URL spécialement écrite et cela au détriement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour WordPress 2.8.1 du 09 juillet 2009 :
```
http://wordpress.org/development/2009/07/wordpress-2-8-1/
```

Référence CVE CVE-2009-2334 :

https://www.cve.org/CVERecord?id=CVE-2009-2334

Référence CVE CVE-2009-2335 :

https://www.cve.org/CVERecord?id=CVE-2009-2335

Référence CVE CVE-2009-2336 :

https://www.cve.org/CVERecord?id=CVE-2009-2336

Avis du CERT-FR

Objet: Multiples vulnérabilités dans WordPress