Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Wordpress MU (multi-user) versions 1.2.2 et antérieures.
  • Wordpress versions 2.2 et antérieures ;

Résumé

Wordpress est touché par une vulnérabilité qui permet de contourner la politique de sécurité et d'exécuter du code arbitraire à distance.

Description

Wordpress est une platerforme de publication web écrite en langage PHP.

Wordpress est touché par une vulnérabilité qui permet à un utilisateur malveillant de contourner la politique de sécurité en téléchargeant un fichier sur le serveur hébergeant l'application. Il peut ensuite le rappeler directement et ainsi le faire interpréter par le serveur Web.

Solution

Utiliser la version Wordpress 2.2.1 ou Wordpress MU 1.2.3. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation