Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en WordPress

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado WordPress < 2.1.3

Descripción

Se han descubierto múltiples vulnerabilidades en Wordpress. Las vulnerabilidades son descritas a continuación.

- CVE-2007-1622: Se ha descubierto una vulnerabilidad del tipo cross-site scripting en WordPress en versiones anteriores a 2.0.10 RC2 y en versiones anteriores a 2.1.3 RC2 en la rama de los 2.1. La vulnerabilidad reside en un error en el archivo wp-admin/vars.php. Un atacante remoto podría inyectar código web script o HTML mediante la variable PATH_INFO en la interfície de administración.

- CVE-2007-1893: Se ha descubierto una vulnerabilidad en WordPress 2.1.2 y probablemente en versiones anteriores. La vulnerabilidad reside en un error en xmlrpc (xmlrpc.php). Un atacante remoto podría saltarse restricciones de acceso e invocar la funcionalidad publish_posts.

- CVE-2007-1894: Se ha descubierto una vulnerabilidad del tipo cross-site scripting en WordPress en versiones anteriores al 09 de Marzo del 2007. La vulnerabilidad reside en un error en el archivo wp-includes/general-template.php. Un atacante remoto podría inyectar código arbitrario web script o HTML mediante el parámetro "año" en la función "wp_title()".

- CVE-2007-1897: Se ha descubierto una vulnerabilidad del tipo inyección de SQL en WordPress 2.1.2 y probablemente en versiones anteriores. La vulnerabilidad reside en un error en xmlrpc (xmlrpc.php). Un atacante remoto podría ejecutar código arbitrario SQL mediante ciertos parámetros en XML RPC.

Solución



Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1.diff.gz
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1.dsc
Architecture independent
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1_all.deb

Identificadores estándar

Propiedad Valor
CVE CVE-2007-1622
CVE-2007-1893
CVE-2007-1894
CVE-2007-1897
BID 22902
23294

Recursos adicionales

Debian Security Advisory (DSA 1285-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00041.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2007-05-04
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración