Risques
- Contournement de la politique de sécurité
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
WordPress versions 3.1.2 et antérieures.
Résumé
Plusieurs vulnérabilités ont été corrigées dans WordPress 3.1.3 qui permettent à un utilisateur malintentionné de contourner la politique de sécurité ou d'effectuer une attaque de type injection de code indirecte.
Description
Plusieurs vulnérabilités ont été corrigées dans WordPress 3.1.3. Elles permettent, notamment, de récupérer la liste des utilisateurs qui ne sont pas des auteurs. Une protection a également été ajoutée dans les pages d'authentification et d'administration afin de se protéger contre des attaques de type injection de requêtes illégitime par rebond (CSRF) en utilisant le champ 'X-Frame-Options' lorsque le navigateur le supporte.
Solution
Mettre WordPress à jour en version 3.1.3.
Documentation
- Annonce de la version 3.1.3 de Wordpress du 25 mai 2011 http://wordpress.org/news/2011/05/wordpress-3-1-3/
- Référence CVE CVE-2011-3122 https://www.cve.org/CVERecord?id=CVE-2011-3122
- Référence CVE CVE-2011-3125 https://www.cve.org/CVERecord?id=CVE-2011-3125
- Référence CVE CVE-2011-3126 https://www.cve.org/CVERecord?id=CVE-2011-3126
- Référence CVE CVE-2011-3127 https://www.cve.org/CVERecord?id=CVE-2011-3127
- Référence CVE CVE-2011-3128 https://www.cve.org/CVERecord?id=CVE-2011-3128
- Référence CVE CVE-2011-3129 https://www.cve.org/CVERecord?id=CVE-2011-3129
- Référence CVE CVE-2011-3130 https://www.cve.org/CVERecord?id=CVE-2011-3130
