S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 octobre 2009
N° CERTA-2009-AVI-453
Affaire suivie par: CERT-FR
le 21 octobre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités dans WordPress

Gestion du document

Référence CERTA-2009-AVI-453
Titre Multiples vulnérabilités dans WordPress
Date de la première version 21 octobre 2009
Date de la dernière version 21 octobre 2009
Source(s) Bulletin de sécurité WordPress 2.8.5 du 20 octobre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

WordPress versions 2.8.4 et antérieures.

Résumé

Une nouvelle version de WordPress corrige un déni de service à distance ainsi que des fragments de code dangereux pouvant mener à une exécution de code arbitraire.

Description

La version 2.8.5 de WordPress a été publiée. Celle-ci corrige les éléments suivants :

  • une attaque en déni de service à distance est possible via les retroliens ;
  • plusieurs fragments du programme, dans lesquels du code php pouvait être interprété, ont été supprimés ;
  • la fonctionnalité de téléchargement (upload) a été basculée vers une liste blanche pour tous les utilisateurs (y compris l'administrateur).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 octobre 2009
    version initiale.