Avis du CERT-FR

Objet: Vulnérabilités dans Wordpress

Gestion du document

Référence	CERTA-2006-AVI-235
Titre	Vulnérabilités dans Wordpress
Date de la première version	12 juin 2006
Date de la dernière version	12 juin 2006
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Exécution de code arbitraire
Élévation de privilèges

Systèmes affectés

Wordpress versions 2.x

Résumé

Lors de l'enregistrement d'un profil utilisateur ou à l'occasion de la mise à jour d'un profil, une erreur dans le script PHP peut être exploitée pour injecter et exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Gentoo GLSA-200606-08.XML du 12 juin 2006 :

http://www.gentoo.org/security/en/glsa/glsa-200606-08.xml

Bulletin de sécurité de l'éditeur

http://wordpress.org/download/

Référence CVE CVE-2006-2667

https://www.cve.org/CVERecord?id=CVE-2006-2667

Référence CVE CVE-2006-2702

https://www.cve.org/CVERecord?id=CVE-2006-2702

Gestion détaillée du document

le 12 juin 2006: version initiale.