Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Wordpress MU (multi-user) versions 1.2.2 et antérieures.
- Wordpress versions 2.2 et antérieures ;
Résumé
Wordpress est touché par une vulnérabilité qui permet de contourner la politique de sécurité et d'exécuter du code arbitraire à distance.
Description
Wordpress est une platerforme de publication web écrite en langage PHP.
Wordpress est touché par une vulnérabilité qui permet à un utilisateur malveillant de contourner la politique de sécurité en téléchargeant un fichier sur le serveur hébergeant l'application. Il peut ensuite le rappeler directement et ainsi le faire interpréter par le serveur Web.
Solution
Utiliser la version Wordpress 2.2.1 ou Wordpress MU 1.2.3. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Secunia SA25794 du 26 juin 2007 http://secunia.com/advisories/25794/
- Annonce de publication de Wordpress 2.2.1 du 22 juin 2007 : http://www.wordpress-fr.net/2007/06/22/sortie-de-wordpress-221/