Plusieurs CVE ont été découverts dans le paquet src:wordpress.
Les fichiers avec un nom contrefait pour l'occasion lorsque téléchargés dans la section Media pouvaient conduire à une exécution de script lors de l’accession à un fichier. Cela nécessitait un utilisateur authentifié avec des droits de téléchargement de fichiers.
Le lien de réinitialisation du mot de passe envoyé par courriel à un utilisateur n’expirait pas après un changement de mot de passe d’utilisateur. Un accès au compte de courriel de l’utilisateur serait nécessaire au tiers malveillant pour une exécution réussie.
Certaines publications privées, précédemment publiques, pouvaient aboutir à une diffusion non authentifiée sous un ensemble de conditions particulières.
Une vulnérabilité dans la méthode stats() de class-wp-object-cache.php pouvait être exploitée pour exécuter des attaques par script intersite (XSS).
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 4.1.30+dfsg-0+deb8u1.
Nous vous recommandons de mettre à jour vos paquets wordpress.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.