2019-0642: WordPress: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-04-01 14:39)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein vermutlich entfernter, einfach authentisierter Angreifer, der in der Lage ist Kommentare zu schreiben, kann eine Schwachstelle ausnutzen, um mittels eines speziell präparierten Kommentars einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentifizierten Angreifer mit der Berechtigung 'author' die Ausführung beliebigen Programmcodes mit den Rechten des betroffenen Dienstes.

Für Debian 8 Jessie (LTS) steht ein Backport-Sicherheitsupdate für das Paket 'wordpress' bereit, welches diese Schwachstellen behebt.

Schwachstellen:

CVE-2019-8942

Schwachstelle in WordPress ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2019-9787

Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.