Множественные уязвимости в WordPress

Дата публикации:
08.08.2014
Дата изменения:
08.08.2014
Всего просмотров:
4839
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:W/RC:C) = Base:7.5/Temporal:6.1
CVE ID:
CVE-2014-2053
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
WordPress 3.x
Уязвимые версии:
WordPress 3.9
WordPress 3.9.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к определенной конфиденциальной информации и вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в сценарии xmlrpc.php. Удаленный пользователь может вызвать отказ в обслуживании.2. Уязвимость существует из-за недостаточной обработки входных данных в сценарии wp-includes/class-wp-customize-widgets.php в функции \"unserialize()\". Удаленный пользователь потенциально может выполнить произвольный PHP код.3. Уязвимость существует из-за ошибки при обработке XML сущьностей. Удаленный пользователь может получить доступ к некоторым локальным файлам или с помощью специально сформированных WAV файлов с iXML частиц.

URL производителя: http://wordpress.org/

Решение: Установите последнюю версию 3.9.2 с сайта производителя.

Ссылки: http://wordpress.org/news/2014/08/wordpress-3-9-2/
http://www.openwall.com/lists/oss-security/2014/08/07/3
http://www.breaksec.com/?p=6362