DFN-CERT

Advisory-Archiv

2016-1009: WordPress: Mehrere Schwachstellen ermöglichen u.a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2016-06-22 15:04)
Neues Advisory
Version 2 (2016-06-23 11:05)
Für Fedora 22, 23 und 24 sowie Fedora EPEL 5, 6 und 7 stehen Sicherheitsupdates auf WordPress 4.5.3 im Status 'testing' zur Verfügung.
Version 3 (2016-06-28 16:46)
Für das Jetpack-Plugin von WordPress steht ein Update auf Version 4.0.4 bereit, mit dem drei Schwachstellen behoben werden, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, die Manipulation von Daten und einen Cross-Site-Scripting-Angriff (XSS) ermöglichen.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in WordPress bis einschließlich Version 4.5.2 ermöglichen einem entfernten, zumeist nicht authentifizierten Angreifer verschiedene Cross-Site-Scripting (XSS)-Angriffe, das Erlangen von Benutzerrechten, die Darstellung falscher Informationen, das Ausspähen von Informationen, einen Denial-of-Service (DoS)-Angriff, die Manipulation von Daten und weitere nicht spezifizierte Angriffe.

Der Hersteller veröffentlicht die WordPress Version 4.5.3, die als Sicherheits- und Wartungsrelease klassifiziert ist und deren Installation vom Hersteller empfohlen wird.

Schwachstellen:

WORDPRESS-4-5-3-A

Schwachstelle in WordPress ermöglicht Darstellung falscher Informationen

WORDPRESS-4-5-3-B

Schwachstellen in WordPress ermöglichen Cross-Site-Scripting-Angriffe

WORDPRESS-4-5-3-C

Schwachstelle in WordPress ermöglicht Ausspähen von Informationen

WORDPRESS-4-5-3-D

Schwachstelle in WordPress ermöglicht Denial-of-Service-Angriff

WORDPRESS-4-5-3-E

Schwachstelle in WordPress ermöglicht Manipulation von Daten

WORDPRESS-4-5-3-F

Schwachstelle in WordPress ermöglicht Erlangen von Benutzerrechten

WORDPRESS-4-5-3-G

Mehrere Schwachstellen in WordPress ermöglichen nicht spezifizierte Angriffe

WORDPRESS-JETPACK-4-0-4-A

Schwachstelle in Jetpack-Plugin für WordPress ermöglicht Manipulation von Daten

WORDPRESS-JETPACK-4-0-4-B

Schwachstelle in Jetpack-Plugin für WordPress ermöglicht Cross-Site-Scripting

WORDPRESS-JETPACK-4-0-4-C

Schwachstelle in Jetpack-Plugin für WordPress ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.