S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 avril 2011
N° CERTA-2011-AVI-192
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans WordPress

Gestion du document

Référence CERTA-2011-AVI-192
Titre Vulnérabilités dans WordPress
Date de la première version06 avril 2011
Date de la dernière version06 avril 2011
Source(s) Annonce de la version 3.1.1 de WordPress du 05 avril 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Injection de code indirecte à distance
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

WordPress versions 3.1 et antérieures.

Résumé

Plusieurs vulnérabilités dans WordPress permettent de réaliser un déni de service ainsi que diverses injections.

Description

Plusieurs vulnérabilités ont été découvertes dans WordPress :

  • une éventuelle injection de requêtes par rebond (CSRF) est possible via le module media uploader ;
  • un déni de service est possible dans certaines configurations lors de la gestion de liens spécifiquement constitués dans le champ des commentaires ;
  • une injection de code indirecte, non détaillée par l'éditeur, est possible.

Solution

Mettre WordPress à jour en version 3.1.1.

Documentation

Gestion détaillée du document

    le 06 avril 2011
    version initiale.