WordPress 多個漏洞

在 WordPress 發現多個漏洞，未經認證的遠端使用者可利用漏洞在目標應用程式提升權限、進行跨網站指令碼及偽冒請求攻擊、及判斷上載路徑。

1. 遠端使用者可透過 HTTP API 進行伺服器端請求偽冒攻擊存取目標網站。
2. 擁有 contributor 權限而未經認識的遠端使用者可發表文章及重設文章的擁有權。
3. 遠端使用者可透過 SWFUpload、上載或編輯媒體檔案、安裝或更新插件及 themesHTTP API 進行跨網站指令碼攻擊。
4. 由於 TinyMCE Media 插件內有漏洞，遠端使用者可透過 Flash applet 偽冒內容。
5. 檔案上載時，遠端使用者可推斷上載路徑。
6. 遠端使用者可透過 oEmbed 進行 XML external entity (XXE) 注入攻擊取得敏感資料。