{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<SPAN class=\"textit\">Wordpress</SPAN>  versions 2.1.2 et ant\u00e9rieures.","content":"## Description\n\nWordpress est une plateforme de publication web \u00e9crite en langage PHP.\n\nUne vuln\u00e9rabilit\u00e9 dans le script xmlrpc.php permet \u00e0 un utilisateur\nd'\u00e9lever ses privil\u00e8ges et de publier m\u00eame lorsqu'il ne dispose que d'un\nsimple droit de contributeur.\n\nUne vuln\u00e9rabilit\u00e9 dans l'utilisation du param\u00e8tre post_id permet de\nr\u00e9aliser une injection SQL pouvant porter atteinte \u00e0 la confidentialit\u00e9\net \u00e0 l'integrit\u00e9 des donn\u00e9es. Cette vuln\u00e9rabilit\u00e9 n'est exploitable que\npar un utilisateur authentifi\u00e9. Un code d'exploitation est disponible\nsur l'Internet.\n\n## Solution\n\nUtiliser la version 2.1.3 de Wordpress. Se r\u00e9f\u00e9rer au bulletin de\ns\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section\nDocumentation).\n","cves":[],"links":[{"title":"Bulletin Wordpress du 03 avril    2007 :","url":"http://wordpress.org/download/"}],"reference":"CERTA-2007-AVI-160","revisions":[{"description":"version initiale.","revision_date":"2007-04-05T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s de <span class=\"textit\">Wordpress</span>\npermettraient de l'ex\u00e9cution de code \u00e0 distance et une \u00e9l\u00e9vation de\nprivil\u00e8ge.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Wordpress","vendor_advisories":[{"published_at":null,"title":"Bulletin Wordpress du 03 avril 2007","url":null}]}