Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte
- Élévation de privilèges
Systèmes affectés
- WordPress version 2.8.1 et antérieures ;
- WordPress version MU 2.7.1 et antérieures.
Résumé
Plusieurs vulnérabilités permettant, entre autres, la réalisation d'injection de code indirecte et de contourner la politique de sécurité ont été corrigées.
Description
Plusieurs vulnérabilités ont été corrigées dont une concernant un défaut de traitement des URL. Elle permet d'accéder à des données confidentielles au moyen d'une URL spécialement écrite et cela au détriement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de mise à jour WordPress 2.8.1 du 09 juillet 2009 : http://wordpress.org/development/2009/07/wordpress-2-8-1/
- Référence CVE CVE-2009-2334 https://www.cve.org/CVERecord?id=CVE-2009-2334
- Référence CVE CVE-2009-2335 https://www.cve.org/CVERecord?id=CVE-2009-2335
- Référence CVE CVE-2009-2336 https://www.cve.org/CVERecord?id=CVE-2009-2336
