Plusieurs vulnérabilités ont été identifiées dans Wordpress, elles pourraient être exploitées afin de conduire des attaques par injection SQL ou par cross site scripting.

Le premier problème résulte d’erreurs présentes aux niveaux de plusieurs fonctions qui ne valident pas certains paramètres (e.g. “post_type”), ce qui pourrait être exploité par des attaquants afin d’injecter des requêtes arbitraires SQL.

La seconde faille est due à des erreurs présentes au niveau du script “wp-admin/admin-functions.php” qui ne filtre pas le paramètre “no_filter”, ce qui pourrait être exploité par des attaquants afin de contourner les mesures de sécurité et poster des données HTML arbitraires.

Versions Vulnérables

Wordpress versions antérieures à 2.2.3
Wordpress MU versions antérieures à 1.2.5a

Solution

Installer Wordpress version 2.2.3 :
http://wordpress.org/latest.zip

Installer Wordpress MU version 1.2.5a :
http://mu.wordpress.org/latest.zip

Tags: Hack, Informatique, Internet, Webmasters, WordPress

This entry was posted on Vendredi, septembre 14th, 2007 at 7:40 and is filed under Internet. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.