Debian DSA-3383-1：wordpress - セキュリティ更新

medium Nessus プラグイン ID 86666

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Web ブログツールである Wordpress で、複数の脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2015-2213 SQL インジェクションにより、リモートの攻撃者がサイトを壊す可能性があります。

- CVE-2015-5622 HTML ショートコードタグフィルタ―のロバスト性が改良されました。解析がより厳密になり、これがインストールに影響する可能性があります。

- CVE-2015-5714 ショートコードタグ処理中のクロスサイトスクリプティング脆弱性

- CVE-2015-5715 脆弱性が発見され、ユーザーは適切な権限なしにプライベートな投稿を公開し、これらの投稿を固定表示にすることができます。

- CVE-2015-5731 攻撃者が、編集中の投稿をロックする可能性があります。

- CVE-2015-5732 ウィジェットタイトルのクロスサイトスクリプティングにより、攻撃者が機密情報を盗む可能性があります。

- CVE-2015-5734 旧式のテーマプレビューで、破損しているリンクを修正します。

- CVE-2015-7989 ユーザーリストテーブルにおけるクロスサイトスクリプティングの脆弱性。

ソリューション

wordpress パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション (wheezy) では、これらの問題はバージョン 3.6.1+dfsg-1~deb7u8 で修正されています。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン 4.1+dfsg-1+deb8u5 以前、あるいは DSA-3332-1 および DSA-3375-1 で修正されています。