• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2757-1 wordpress -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2757-1 wordpress -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
wordpress (any)
Описание
В Wordpress, инструменте для веб-блоггинга, были
обнаружены несколько уязвимостей. Поскольку идентификационные номера CVE были убраны из анонсов выпусков и конкретные
исправления очень сложно определить, было решено обновить пакет
Wordpress до актуальной версии основной ветки разработки, а не переносить назад
заплаты.
Это подразумевает, что при обновлении следует быть внимательным, особенно при
использовании плагинов или тем от третьих лиц, поскольку во время обновления может быть
нарушена совместимость. Мы рекомендуем, чтобы пользователи проверили свои настройки
до выполнения обновления.

CVE-2013-4338
Небезопасная десериализация PHP в wp-includes/functions.php может вызвать
    выполнение произвольного кода.
CVE-2013-4339
Недостаточная проверка ввода может приводить к перенаправлению или приводить
    пользователя на другой веб-сайт.
CVE-2013-4340
Повышение привилегий позволяет пользователю с другой авторской ролью создавать
    объект, который выглядит как написанный другим пользователем.
CVE-2013-5738
Недостаточные возможности требовались для загрузки файлов .html/.html,
    что облегчало авторизованным пользователям выполнять атаки по межсайтовому
    скриптингу (XSS), используя загрузку специально подготовленного файла html.
CVE-2013-5739
Настройка Wordpress по умолчанию разрешала загрузку файлов .swf/.exe,
    что облегчало авторизованным пользователям выполнять атаки по межсайтовому
    скриптингу (XSS).

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 3.6.1+dfsg-1~deb6u1.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.6.1+dfsg-1~deb7u1.
В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 3.6.1+dfsg-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.6.1+dfsg-1.
Мы рекомендуем вам обновить ваши пакеты wordpress.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
wordpress - 3.6.1+dfsg-1~deb6u1
Debian GNU/Linux 7:
noarch:
wordpress - 3.6.1+dfsg-1~deb7u1
Ссылки
http://www.debian.org/security/dsa-2757/

Источник: CVE
Наименование: CVE-2013-4339
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4339

Источник: CVE
Наименование: CVE-2013-5738
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5738

Источник: CVE
Наименование: CVE-2013-5739
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5739

Источник: CVE
Наименование: CVE-2013-4340
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4340

Источник: CVE
Наименование: CVE-2013-4338
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4338