En serveröverskridande skriptsårbarhet (XSS) i wp-admin/vars.php i WordPress före 2.0.10 RC2, och före 2.1.3 RC2 i 2.1-serien gjorde det möjligt för autentiserade fjärranvändare med tema-privilegier att injicera godtyckliga webbskript eller HTML via PATH_INFO i administrationsgränssnittet, relaterat till för enkel hantering av reguljära uttryck i PHP_SELF.
WordPress 2.1.2, och troligen tidigare, gjorde det möjligt för autentiserade
fjärranvändare med bidragslämnare-rollen att gå förbi de tänkta
åtkomstbegränsningarna och anropa publish_posts-funktionen, vilket kunde
användas till att publicera en tidigare sparad artikel.
En serveröverskridande skriptsårbarhet (XSS) i wp-includes/general-template.php i WordPress före 20070309 gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML via year-parametern i funktionen wp_title.
En SQL-injiceringssårbarhet i xmlrpc.php i WordPress 2.1.2, och troligen tidigare, gjorde det möjligt för autentiserade fjärranvändare att exekvera godtyckliga SQL-kommandon via ett strängparametervärde i ett XML RPC-anrop till metoden mt.setPostCategories, relaterat till variabeln post_id.
För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.10-1.
För uttestningsutgåvan och den instabila utgåvan (Lenny respektive Sid) har dessa problem rättats i version 2.1.3-1.
Vi rekommenderar att ni uppgraderar ert wordpress-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.