Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

WordPress 4.1.2 est disponible et il est fortement conseillé de se mettre à jour

Les sites fonctionnant sous WordPress sont régulièrement la cible de pirates qui exploitent des failles de sécurités sur le CMS lui-même ou bien sur ses plugins. On se souvient par exemple des 100 000 sites infectés à cause d'une brèche sur Slider Revolution et de la récente mise en garde du FBI.

Hasard ou pas du calendrier, WordPress vient justement de publier une importante mise à jour estampillée 4.1.2. L'équipe en charge du projet explique que « les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site ». Mais ce n'est pas tout et trois autres failles sont également bouchées.

Les plugins sont également touchés par une possible attaque par injection SQL

La première concerne WordPress 4.1 où il est possible d'uploader des fichiers non autorisés. La deuxième se trouve sur toutes les moutures 3.9 et plus récentes, et elle prend là aussi la forme d'une brèche XSS, mais à la portée « limitée » apparemment. Tout aussi inquiétant, « certains plugins étaient vulnérables à une attaque par injection SQL ».

Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () que « de nombreux plugins les utilisent à tort, ouvrant la porte à de potentiels vecteurs d'attaque XSS dans leur code ».

De fait, de nombreux plugins ont donc été mis à jour et, en plus de WordPress 4.1.2, il est recommandé de faire un tour de ce côté-là afin de vérifier que tout va bien. On remarquera que, cette fois encore, WordPress ne mentionne absolument pas l'annonce de Malwarebytes sur une campagne d'infection. Pour rappel, le CMS n'avait pas non plus souhaité répondre à nos questions sur le sujet.