Debian DLA-633-1: wordpressセキュリティ更新

high Nessus プラグイン ID 93667

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

Web ブログツールである wordpress で、複数の脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトでは、次の問題を特定しています。

CVE-2015-8834:4.2.2より前のWordPressのwp-includes/wp-db.phpのクロスサイトスクリプティング（XSS）の脆弱性により、リモート攻撃者が、MySQL TEXTデータタイプの制限のために不適切に保存された長いコメントを介して、任意のWebスクリプトまたはHTMLを挿入する可能性があります。注: この脆弱性は、CVE-2015-3440の修正が不完全なために存在します

CVE-2016-4029:4.5より前のWordPressは、イントラネットアドレスを決定する際に、8進数および16進数のIPアドレス形式を考慮しません。これにより、リモート攻撃者が、細工されたアドレスを介して、意図したSSRF保護メカニズムをバイパスする可能性があります。

CVE-2016-5836:4.5.3より前のWordPressのoEmbedプロトコル実装により、明記されないベクトルを介して、リモートの攻撃者がサービス拒否を引き起こす可能性があります。

CVE-2016-6634:4.5より前のWordPressのネットワーク設定ページにおけるクロスサイトスクリプティング（XSS）の脆弱性により、リモート攻撃者が、詳細不明なベクトルを介して、任意のWebスクリプトまたはHTMLを注入する可能性があります。

CVE-2016-6635:4.5より前のWordPressのwp-admin/includes/ajax- actions.phpにあるwp_ajax_wp_compression_test 関数にあるCross-site request forgery（CSRF）の脆弱性により、リモート攻撃者がスクリプトの圧縮オプションを変更するリクエストに対して管理者の認証を乗っ取る可能性があります。

CVE-2016-7168: 画像ファイル名によるクロスサイトスクリプティングの脆弱性を修正します。

CVE-2016-7169: アップグレードパッケージアップローダーにおけるパストラバーサルの脆弱性を修正します。

Debian 7「Wheezy」では、これらの問題は、バージョン3.6.1+dfsg-1~deb7u12で修正されました。

お使いのwordpressパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。