{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P><SPAN class=\"textit\">WordPress</SPAN> versions 2.0.5 et  ant\u00e9rieures.</P>","content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans WordPress.\n\nLa premi\u00e8re concerne la fonctionnalit\u00e9 de gestion des r\u00e9troliens qui ne\nprend pas en compte correctement tous les encodages de caract\u00e8res. Cette\nvuln\u00e9rabilit\u00e9 requiert l'activation de l'extension mbstring. Un\nutilisateur malintentionn\u00e9 peut exploiter cette vuln\u00e9rabilit\u00e9 pour\ninjecter du code SQL.\n\nLa seconde vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans le syst\u00e8me de protection\ncontre les attaques de type CSRF (cross site request forgery). Un\nutilisateur malintentionn\u00e9 peut exploiter cette vuln\u00e9rabilit\u00e9 afin de\nr\u00e9aliser une attaque de type cross site scripting \u00e0 l'encontre de\nl'administrateur, et ainsi ex\u00e9cuter des commandes d'administration ou\nvoler le cookie de session.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"T\u00e9l\u00e9chargement de la version 2.0.6 de WordPress :","url":"http://wordpress.org/download/"}],"reference":"CERTA-2007-AVI-010","revisions":[{"description":"version initiale.","revision_date":"2007-01-08T00:00:00.000000"}],"risks":[{"description":"Injection de code SQL"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":null,"title":"Vuln\u00e9rabilit\u00e9s dans WordPress","vendor_advisories":[{"published_at":null,"title":"Annonce de la version 2.0.6 de WordPress du 05 janvier 2007","url":"http://wordpress.org/development/category/security/"}]}