Debian DLA-2429: WordPress Fixes 9 CVEs Including RCE, XSS, and Privilege Escalation

关键漏洞信息 Debian LTS Advisory: DLA-2429-1 包名与版本 Package: wordpress Version: 4.7.19+dfsg-1+deb9u1 漏洞ID CVE ID: CVE-2020-28032, CVE-2020-28033, CVE-2020-28034, CVE-2020-28035, CVE-2020-28036, CVE-2020-28037, CVE-2020-28038, CVE-2020-28039, CVE-2020-28040 漏洞描述 CVE-2020-28032: WordPress 4.7.19之前版本 mishandles deserialization requests in wp-includes/Requests/Utility/FilteredIterator.php。 CVE-2020-28033: WordPress 4.7.19之前版本 mishandles embeds from disabled sites on a multisite network, 可能导致垃圾spam embed。 CVE-2020-28034: WordPress 4.7.19之前版本 allows XSS associated with global variables。 CVE-2020-28035: WordPress 4.7.19之前版本 allows attackers to gain privileges via XML-RPC。 CVE-2020-28036: wp-includes/class-wp-xmlrpc-server.php in WordPress 4.7.19之前版本 allows attackers to gain privileges by using XML-RPC to comment on a post。 CVE-2020-28037: is_blog_installed in wp-includes/functions.php in WordPress 4.7.19之前版本 improperly determines whether WordPress is already installed, 可能允许攻击者执行远程代码执行。 CVE-2020-28038: WordPress 4.7.19之前版本 allows stored XSS via post slugs。 CVE-2020-28039: is_protected_meta in wp-includes/meta.php in WordPress 4.7.19之前版本 allows arbitrary file deletion because it does not properly determine whether a meta key is considered protected。 CVE-2020-28040: WordPress 4.7.19之前版本 allows CSRF attacks that change a theme's background image。 修复建议 对于Debian 9 stretch，这些问题已在版本4.7.19+dfsg-1+deb9u1中修复。 建议升级WordPress包以解决这些安全问题。

目標達成 すべての支援者に感謝 — 100%達成しました！

Debian DLA-2429: WordPress Fixes 9 CVEs Including RCE, XSS, and Privilege Escalation

目標達成すべての支援者に感謝 — 100%達成しました！