En bref : une faille critique découverte dans WordPress….

A tous ceux qui utilisent WordPress pour leurs blogs….

WordPress recommande aux éditeurs de sites Web d’appliquer sans tarder un correctif. La plateforme open source de gestion de contenus a en effet découvert une faille de sécurité critique. Celle-ci permettrait à un cyberpirate d’insérer un code malveillant au niveau des commentaires d’un texte.

wordpress

WordPress a publié une alerte lundi et conseillé fortement aux créateurs de sites Internet de mettre à jour leurs sites vers WordPress 4.2.1, après la découverte d’une faille de sécurité critique qui affecte toutes les anciennes versions du CMS open source. La vulnérabilité a été découverte par Jouko Pynnönen. Il explique qu’une personne malintentionnée pourrait injecter dans les commentaires du code JavaScript malicieux. Ce dernier s’exécuterait lorsque les commentaires sont lus.

Si le code est exécuté depuis le navigateur d’une personne identifiée sur le site et ayant des droits d’administrateur, l’assaillant peut alors exécuter du code sur le serveur via les systèmes de plugins et les thèmes ou modifier les droits d’accès pour bloquer l’administrateur hors de chez lui.

Un plugin pour obtenir les correctifs

Le chercheur rappelle qu’une faille relativement proche avait déjà été découverte l’an dernier par Cedric Van Bockhaven et qu’elle n’a été corrigée par WordPress que la semaine dernière. Si vous souhaitez bénéficier d’une mise à jour automatique de WordPress pour disposer au plus vite des correctifs de sécurité, l’éditeur propose un plugin Background Update Tester, qui permet d’appliquer la plupart des correctifs automatiquement. Selon certaines statistiques, WordPress serait utilisé aujourd’hui pour près d’un quart des sites Internet dans le monde.

Source:  Numerama.com, licence CC

2 Commentaires

  1. Bloquer les admins dehors … Ennuyeux, mais limité. Sauf si le fait de pouvoir modifier les droits d’un admin existant sous-entend aussi pouvoir créer un compte admin, ou upgrader les droits des comptes utilisateurs ? https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif

  2. Salut! https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif

    je reposte ce lien car de circonstance. https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif

    WordPress: Quelques plugins aux vulnérabilités(XSS) potentiellement dangereuses

    Quoideneuf1/Wordpress/Plugins-vulnérabilités

Les commentaires sont clos.