Dans les versions affectées de WordPress, lorsque des thèmes de téléchargement, le nom du dossier thématique peut être conçu d’une manière qui pourrait conduire à l’exécution de JavaScript dans / wp-admin sur la page des thèmes. Cela nécessite un administrateur de télécharger le thème, et est faible gravité auto-XSS. Cela a été corrigé dans la version 5.4.2, ainsi que toutes les versions précédemment affectées par une version mineure (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 06/04/19, 05/04/22, 04/04/23, 04/03/24, 02/04/28, 01/04/31, 4.0.31, 3.9.32, 8.3.34, 7.3.34).
https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-87h4-phjv-rm6p
https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-87h4-phjv-rm6p
https://www.debian.org/security/2020/dsa-4709
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ODNHXVJS25YVWYQHOCICXTLIN5UYJFDN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/773N2ZV7QEMBGKH6FBKI6Q5S3YJMW357/
https://github.com/WordPress/wordpress-develop/commit/404f397b4012fd9d382e55bf7d206c1317f01148
https://github.com/WordPress/wordpress-develop/commit/404f397b4012fd9d382e55bf7d206c1317f01148
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/
https://lists.debian.org/debian-lts-announce/2020/07/msg00000.html
https://lists.debian.org/debian-lts-announce/2020/09/msg00011.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4049
