Dans les versions affectées de WordPress, les utilisateurs avec des privilèges faibles (comme contributeurs et auteurs) peuvent utiliser le bloc intégré d’une certaine façon d’injecter HTML non filtrée dans l’éditeur de blocs. Lorsque les messages affectés sont considérés par un utilisateur privilégié plus, cela pourrait conduire à l’exécution de script dans l’éditeur / wp-admin. Cela a été corrigé dans la version 5.4.2, ainsi que toutes les versions précédemment affectées par une version mineure (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 06/04/19, 05/04/22, 04/04/23, 04/03/24, 02/04/28, 01/04/31, 4.0.31, 3.9.32, 8.3.34, 7.3.34).
https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-rpwf-hrh2-39jf
https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-rpwf-hrh2-39jf
https://www.debian.org/security/2020/dsa-4709
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ODNHXVJS25YVWYQHOCICXTLIN5UYJFDN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/773N2ZV7QEMBGKH6FBKI6Q5S3YJMW357/
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/
https://lists.debian.org/debian-lts-announce/2020/07/msg00000.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4046
