{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<SPAN class=\"textit\">Wordpress</SPAN>,  versions 2.0.6 et ant\u00e9rieures.","content":"## Description\n\nLes vuln\u00e9rabilit\u00e9s sont de plusieurs ordres :\n\n-   une vuln\u00e9rabilit\u00e9 dans wp-admin/templates.php permet l'injection de\n    scripts ou de code HTML ;\n-   lorsque le param\u00e9trage PHP active l'option mbstring, une personne\n    malintentionn\u00e9e peut contourner le syst\u00e8me de protection des\n    requ\u00eates SQL et ainsi ex\u00e9cuter des commandes SQL arbitraires ;\n-   les messages d'erreur retourn\u00e9s par wp-login.php sont diff\u00e9rents\n    selon l'existence ou non de l'utilisateur, ce qui facilite la\n    pr\u00e9paration d'attaques par recherche exhaustive.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-6808","url":"https://www.cve.org/CVERecord?id=CVE-2006-6808"},{"name":"CVE-2007-0109","url":"https://www.cve.org/CVERecord?id=CVE-2007-0109"},{"name":"CVE-2007-0107","url":"https://www.cve.org/CVERecord?id=CVE-2007-0107"}],"links":[{"title":"Bulletin de Wordpress du 15    janvier 2007 :","url":"http://wordpress.org/"}],"reference":"CERTA-2007-AVI-034","revisions":[{"description":"version initiale.","revision_date":"2007-01-17T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"<span class=\"textit\">Wordpress</span> est une plateforme de publication\nweb \u00e9crite en langage PHP. Des vuln\u00e9rabilit\u00e9s permettent des atteintes \u00e0\nla disponibilit\u00e9 et \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es.\n","title":"Vuln\u00e9rabilit\u00e9 de Wordpress","vendor_advisories":[{"published_at":null,"title":"Bulletin Wordpress du 15 janvier 2007","url":null}]}