2013-1643: Wordpress: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting Angriffe oder das Ausführen beliebigen Programmcodes.
Historie:
- Version 1 (2013-09-16 17:44)
- Neues Advisory
- Version 2 (2013-09-22 22:27)
- Öffentlich verfügbare Beispiele für die Ausnutzung der Schwachstelle sind bekannt geworden.
- Version 3 (2013-09-27 14:23)
- Updates für Fedora 18, 19 und 20 beheben die relevanten Schwachstellen.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Worldpress ermöglichen Cross-Site-Scripting Angriffe oder das Ausführen von Programmcode. Ein entfernter, nicht authentifizierter Angreifer kann dadurch unberechtigt Informationen erlangen oder Programmcode ausführen. Zumindest für einen Teil der Schwachstellen gibt es öffentlich verfügbare Beispiele, wie diese ausgenutzt werden können. Die Schwachstellen CVE-2013-4338 bis CVE-2013-4340 sind in den Distributionen Fedora 18, 19 und Fedora 20 behoben worden.
Schwachstellen:
CVE-2013-4338
Schwachstelle durch fehlerhafte Serialisierung in wp-includes/functions.phpCVE-2013-4339
Unzureichende Validierung von URLs ermöglicht ein Umlenken auf fremde Web-SeitenCVE-2013-4340
Falsche Angaben über die Herkunft eines Artikels durch Schwachstelle in wp-admin/includes/post.phpCVE-2013-5738
Schwachstelle erleichtert XSS-Angriffe beim Hochladen von HTML- und HTM-DateienCVE-2013-5739
Schwachstelle durch ermöglichtes Hochladen von SWF- und EXE-Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.