2024-1642: WordPress: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2024-06-25 16:30): Neues Advisory
Version 2 (2024-06-26 00:56): Es wurden neuere Informationen zu den Schwachstellen bekannt, die deren Schweregrad reduzieren. Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Version 3 (2024-06-26 12:46): Bei der Vergabe der Schwachstellen-IDs ist es zu einem Fehler gekommen. Statt der CVE-2024-6306 soll CVE-2024-32111 benutzt werden. Das Advisory wurde entsprechend angepasst.
Version 4 (2024-07-03 10:49): Es ist zu einem weiteren Fehler bei der Vergabe der Schwachstellen-IDs gekommen. Statt der CVE-2024-6305 soll CVE-2024-31111 benutzt werden. Das Advisory wurde entsprechend angepasst. Für Fedora 39 und 40 sowie Fedora EPEL 9 stehen Sicherheitsupdates in Form von 'wordpress-6.5.5-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt WordPress 6.5.5 für deren Behebung bereit.

Schwachstellen:

CVE-2024-31111

Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-32111

Schwachstelle in WordPress ermöglicht Manipulation von Dateien

CVE-2024-6307