2018-2545: WordPress: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-12-13 15:51)
- Neues Advisory
- Version 2 (2018-12-21 10:01)
- Für Fedora 28 und 29 sowie für Fedora EPEL 6 und 7 stehen neue Sicherheitsupdates für 'wordpress' bereit, mit denen die Software auf Version 5.0.2 aktualisiert wird. Durch die neue Version von WordPress werden keine neuen Schwachstellen behoben. Die bisherigen Sicherheitsupdates für Fedora wurden in den Status 'obsolete' überführt (Referenzen hier entfernt). Die Sicherheitsupdates für Fedora 28, Fedora EPEL 6 und 7 befinden sich im Status 'testing', während das Sicherheitsupdate für Fedora 29 noch den Status 'pending' besitzt.
- Version 3 (2019-02-12 11:46)
- Für Debian 8 Jessie (LTS) steht ein Backport-Sicherheitsupdate für das Paket 'wordpress' bereit, welches diese Schwachstellen behebt.
- Version 4 (2019-03-04 11:18)
- Für die stabile Distribution Debian Stretch (stable) steht ein Backport-Sicherheitsupdate für das Paket 'wordpress' bereit, welches diese Schwachstellen behebt.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in WordPress können von einem entfernten, authentifizierten Autor bzw. Mitwirkenden (Contributor), als Angreifer, ausgenutzt werden. Die Schwachstellen ermöglichen verschiedene Cross-Site-Scripting (XSS)-Angriffe, das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Darstellen falscher Daten und Löschen von Dateien. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen.
WordPress veröffentlicht das Sicherheitsrelease 5.0.1 und empfiehlt allen Nutzern dessen umgehende Installation.
Für Fedora 28 und 29 sowie EPEL 6 und 7 stehen Sicherheitsupdates in Form von 'wordpress-5.0.1-1'-Paketen im Status 'pending' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2018-20147
Schwachstelle in WordPress ermöglicht Löschen von DateienCVE-2018-20148
Schwachstelle in WordPress ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-20149
Schwachstelle in WordPress ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2018-20150
Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-AngriffCVE-2018-20151
Schwachstelle in WordPress ermöglicht Ausspähen von InformationenCVE-2018-20152
Schwachstelle in WordPress ermöglicht Darstellen falscher InformationenCVE-2018-20153
Schwachstelle in WordPress ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-8942
Schwachstelle in WordPress ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.