Risque

  • Contournement de la politique de sécurité ;
  • injection de requêtes illégitime par rebond.

Systèmes affectés

WordPress versions 3.1.2 et antérieures.

Résumé

Plusieurs vulnérabilités ont été corrigées dans WordPress 3.1.3 qui permettent à un utilisateur malintentionné de contourner la politique de sécurité ou d'effectuer une attaque de type injection de code indirecte.

Description

Plusieurs vulnérabilités ont été corrigées dans WordPress 3.1.3. Elles permettent, notamment, de récupérer la liste des utilisateurs qui ne sont pas des auteurs. Une protection a également été ajoutée dans les pages d'authentification et d'administration afin de se protéger contre des attaques de type injection de requêtes illégitime par rebond (CSRF) en utilisant le champ 'X-Frame-Options' lorsque le navigateur le supporte.

Solution

Mettre WordPress à jour en version 3.1.3.

Documentation