2020-2360: WordPress: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-11-02 15:11)

Neues Advisory

Version 2 (2020-11-03 13:37)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'wordpress' in Version 4.7.19+dfsg-1+deb9u1 bereit, um die Schwachstellen zu beheben.

Version 3 (2020-11-09 09:06)

Für Debian 10 Stretch (Buster) steht ein Sicherheitsupdate für 'wordpress' in Version 5.0.11+dfsg1-0+deb10u1 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und hat WordPress 5.5.2 als Sicherheitsupdate bereitgestellt. Gleichzeitig wurden zahlreiche Versionen für ältere Versionszweige der Software veröffentlicht. Die aktuelle Version 5.5.3 behebt ein mit Version 5.5.2 aufgetretenes Problem während der Installation. Für WordPress 5.1 und höher stehen ebenfalls Updates zur Behebung dieses Problems zur Verfügung.

Für Fedora 31, 32 und 33 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für 'wordpress' auf die Versionen 5.5.3 bzw. 5.1.8 im Status 'pending' bereit.

Schwachstellen:

CVE-2020-28032

Schwachstelle in WordPress ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-28033

Schwachstelle in WordPress ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2020-28034

Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-28035

Schwachstellen in WordPress ermöglichen Privilegieneskalation

CVE-2020-28036

Schwachstellen in WordPress ermöglichen Privilegieneskalation

CVE-2020-28037

Schwachstelle in WordPress ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-28038

Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-28039

Schwachstelle in WordPress ermöglicht Löschen von Dateien

CVE-2020-28040

Schwachstelle in WordPress ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.