Mehrere entfernt-ausnutzbare Verwundbarkeiten wurden in WordPress, einem
Weblog-Verwalter, gefunden. Das Common Vulnerabilities and Exposures
project
identifiziert die folgenden Probleme:
Eine Site-übergreifende Skripting-Verwundbarkeit (XSS) in functions.php im Standard-Thema in WordPress erlaubt es aus der ferne authentifizierten Administratoren beliebigen Web-Skript oder HTML über die PATH_INFO (REQUEST_URI) nach wp-admin/themes.php einzuschleusen.
SQL-Einschleusungsverwundbarkeit in wp-admin/admin-ajax.php in WordPress vor 2.2 erlaubt es Angreifern aus der Ferne beliebige SQL-Befehle über den Cookie-Parameter auszuführen.
Eine Site-übergreifende Skripting-Verwundbarkeit (XSS) in wp-db-backup.php in WordPress 2.0.11 und älteren Versionen erlaubt es Angreifern aus der Ferne, beliebigen Web-Skript oder HTML über den Backup-Parameter in einer wp-db-backup.php-Aktion nach wp-admin/edit.php einzuschleusen.
Eine Verzeichnisdurchlauf-Verwundbarkeit in wp-db-backup.php in WordPress
2.0.3 und älteren Versionen erlaubt es Angreifern aus der Ferne beliebige
Dateien zu lesen, beliebige Dateien zu löschen und eine
Diensteverweigerung (denial of service
) über ein .. (Punkt Punkt)
im Backup-Parameter in einer wp-db-backup.php-Aktion nach
wp-admin/edit.php auszulösen.
WordPress ist in der alten stabilen Distribution (Sarge) nicht enthalten.
Für die stabile Distribution (Etch) wurden diese Probleme in Version 2.0.10-1etch1 behoben.
Wir empfehlen, dass Sie Ihr wordpress-Paket aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.