Debian DLA-568-1：wordpress セキュリティ更新

high Nessus プラグイン ID 92632

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

Web ブログツールである wordpress で、複数の脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトでは、次の問題を特定しています。

CVE-2016-5387 WordPress で、リモートの攻撃者は、詳細不明なベクトルを通じて意図されるアクセス制限をバイパスして、投稿からカテゴリ属性を削除可能です。

CVE-2016-5832 WordPress のカスタマイザーにより、詳細不明なベクトルを通じて、リモートの攻撃者が意図される制限をバイパス可能です。

CVE-2016-5834 WordPress の wp-includes/post- template.php の wp_get_attachment_link 関数のクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者は細工された添付ファイル名を通じて、任意の Web スクリプトまたは HTML を挿入可能です。

CVE-2016-5835 WordPress では、wp-admin/includes/ajax-actions.php および wp-admin/revision.php に関係する投稿を読み取る機能を利用することで、リモートの攻撃者は、機密のリビジョン履歴情報を漏洩可能です。

CVE-2016-5838 WordPress では、クッキーの知識を利用することで、リモートの攻撃者が意図されるパスワード変更制限をバイパス可能です。

CVE-2016-5839 WordPress では、リモートの攻撃者は、詳細不明なベクトルを通じて、sanitize_file_name 保護機構をバイパス可能です。

Debian 7「Wheezy」では、これらの問題は、バージョン 3.6.1+dfsg-1~deb7u11 で修正されました。

wordpress パッケージをアップグレードすることを推奨します。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。