du 21 août 2018
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

Google suit ses utilisateurs bien plus qu'ils ne le pensent, une plainte déposée aux États-Unis

Il y a quelques jours, Associated Press révélait que « de nombreux services Google sur les terminaux Android et iPhone enregistrent vos données de localisation, même si vous avez demandé que ce ne soit pas fait via les paramètres de confidentialité ».

C'est notamment le cas des applications Maps et Weather qui récupèrent automatiquement la position géographique à chaque ouverture. Il est possible de supprimer ces informations, mais la manipulation détaillée par AP peut être fastidieuse.

Plutôt que de changer ses pratiques, Google a modifié la page d'aide sur l'historique de géolocalisation, afin de mentionner ce comportement.

L'affaire prend une autre tournure puisqu'une action en justice est lancée par Napoleon Patacsil. Reuters explique que le plaignant souhaite mettre en place un recours collectif au nom des utilisateurs sur Android et iPhone ayant désactivé la fonction de suivi. La plainte sera traitée par le tribunal de première instance du district nord de la Californie.

Ce n'est pas le seul grief contre Google concernant le respect de la vie privée. Selon une étude de l'université américaine de Vanderbilt, Google serait également capable d'obtenir rétroactivement des informations sur les utilisateurs lorsqu'ils utilisent la navigation privée.

Dans cette situation, les cookies des sites diffusant des publicités via Google sont anonymisés, mais Google pourrait quand même établir des liens par la suite. Selon AdAge qui cite l'étude, « si la même personne quitte le mode de navigation privé et se connecte à un service comme Gmail ou YouTube, le fait de se connecter à Google permet de lier l'activité passée à l'utilisateur identifié ».

Pour le moment, Google n'a pas souhaité s'exprimer sur le sujet.

Au début de l'année, les failles Spectre et Meltdown faisaient parler d'elles. Durant des mois, les correctifs se sont enchaînés, tant au niveau matériel que logiciel.

Mi-juillet, des chercheurs annonçaient deux nouvelles variantes de Spectre (1.1 et 1.2). Il y a près de trois semaines, une autre version faisait parler d'elle : NetSpectre. Comme son nom l'indique, elle est exploitable sans accès local à la machine.

Les détails sont donnés dans ce papier signé par Michael Schwarz, Moritz Lipp, Daniel Gruss et Martin Schwarzl. Pour rappel, les trois premiers étaient déjà à l'origine de la publication sur Meltdown.

Les informations ont été dévoilées dès le 20 mars à Intel, avec une publication programmée pour le mois de juillet. Le fondeur a d'ores et déjà intégré des correctifs dans ses mises à jour ces derniers mois, et a également mis à jour sa documentation technique pour développeurs.

NetSpectre : une attaque désormais exploitable à distance

L'été fût chaud pour le site communautaire. Mi-juin, un pirate a accédé aux comptes de certains employés et récupéré les codes de validation en deux étapes envoyés par SMS. « Nous avons appris que l'authentification par SMS n'était pas aussi sécurisée que nous l'espérions », avait alors reconnu Reddit.

L'attaquant a ainsi obtenu un accès en lecture à plusieurs lots de données d'utilisateurs : une sauvegarde complète de 2007 avec pseudos, mots de passes hachés et salés, email et aussi l'ensemble des contenus publiés de manière privée ou publique. Il est également question du résumé envoyé par email aux utilisateurs entre les 3 et 17 juin 2018.

Ce n'est pas tout. Le pirate ayant eu accès au système de stockage de Reddit, d'autres données comme le code source, les journaux internes, les fichiers de configuration et des documents de travail des employés étaient accessibles.

Les clients affectés ont été prévenus par email et, le cas échéant, une demande de réinitialisation de mot de passe envoyée. La police mène une enquête de son côté.

Reddit piraté, des données personnelles dérobées

Des pirates ont exploité une faille dans le composant Winbox de RouterOS. Elle a été identifiée en avril dernier et corrigée dans la foulée par le fabricant. Problème, de nombreux routeurs n'ont pas été mis à jour, laissant des pirates en profiter.

Ils ont alors injecté un script CoinHive (lire notre analyse) sur les pages web visitées, les ordinateurs reliés aux routeurs minant de la cryptomonnaie pour le compte des pirates.

Selon The Hacker News, des dizaines, voire des centaines de milliers, de routeurs sont touchés car ils n'ont pas été mis à jour par leur propriétaire. Ce décompte datant de août, le nombre a certainement évolué depuis.

Des dizaines de milliers de routeurs MikroTik infectés
Wi-Fi : une nouvelle méthode pour attaquer les protections WPA et WPA2

Atom (alias Jens Steube), derrière l'outil de récupération de mot de passe Hashcat, déclare qu'il a découvert cette vulnérabilité en analysant la norme WPA3, tout juste sortie.

Alors qu'il fallait auparavant attendre qu'un utilisateur se connecte pour récupérer des informations du routeur et lancer une attaque par force brute ou par dictionnaire, ce n'est désormais plus la peine selon lui.

Les routeurs émettent en effet une clé PMKID dont la valeur est la suivante : HMAC-SHA1-128 (PMK, "PMK Name" | MAC_AP | MAC_STA). Deux des trois variables sont connues (les adresses MAC), la suite n'est qu'une question de temps.

N'espérez pas pour autant casser le WPA/WPA2 facilement : il faut toujours lancer une attaque par force brute pour trouver le mot de passe. Si ce dernier est robuste, vous ne risquez donc pas grand-chose de plus.

Le chercheur pense que cette découverte peut fonctionner sur tous les routeurs 802.11i/p/q/r avec les fonctions de roaming activées.

Dans le dépôt du compte i5xx se trouvait un projet baptisé « Source-SnapChat ». Si nous en parlons au passé c'est qu'il n'est plus accessible suite à une requête DMCA.

Elle provient de chez Snapchat qui écrit, tout en majuscule, qu'il s'agit du « CODE SOURCE DE SNAPCHAT ». Interrogée par Motherboard, la plateforme de partage donne quelques explications.

« Une mise à jour iOS en mai a dévoilé une petite quantité de notre code source et nous avons pu identifier l’erreur et la corriger immédiatement » explique-t-elle. Elle ajoute avoir « découvert qu'une partie de ce code avait été mise en ligne et ensuite supprimée. Cela n'a pas compromis l'application et n'a aucun impact sur la communauté ».

Depuis, certains affirment avoir récupéré le code source sur le dépôt GitHub.

Snapchat : une partie du code source de l'application iOS était disponible sur GitHub

Début août, Taiwan Semiconductor Manufacturing Co. (TSMC) était confronté à une situation pour le moins embarrassante : plusieurs usines ont été arrêtées pendant une journée à cause d'un malware, rapporte  Bloomberg.

L'infection s'est produite via l'ajout d'un logiciel corrompu venant d'un partenaire, sans contrôle par un antivirus. Les usines de Hsinchu et Taichung à Tainan étaient touchées. Sans être directement cité, le malware responsable serait une variante de WannaCry, qui avait fait des ravages en 2017. Il est désormais bien connu des outils antivirus.

Selon C.C. Wei, PDG de TSMC, la société n'était pas directement visée par les pirates. Elle a bien évidemment revu ses procédures et l'ajout d'une application devrait être plus complexe à l'avenir.

Lora Ho, directeur financier de TSMC, affirme que cet incident n'aura qu'un « impact minime » sur les bénéfices de la société. Les conséquences pour la production d'Apple (et d'autres partenaires) n'ont pas été précisées, mais elles devraient là aussi être minimes, selon plusieurs analystes interrogés par Bloomberg.

Pause estivale forcée pour des usines de TSMC, à cause d'un virus informatique

C'est la démonstration proposée par Eyal Itkin et Yaniv Balmas de Check Point. Avec un prototype, ils sont parvenus à prendre le contrôle d'une imprimante multifonction simplement en envoyant un fax. « À partir de là, tout était possible » assurent les chercheurs.

Ces derniers ont mené leurs recherches sur des produits tout-en-un HP Officejet, mais ils pensent que le problème est bien plus large car les vulnérabilités « concernent les protocoles de communication par fax en général ».

Ces failles ont été remontées à HP le 1er mai. Un correctif a été mis en ligne le 1er août et la faille dévoilée publiquement le 12 août. Si ce n'est pas encore fait, pensez donc à vérifier les mises à jour de votre imprimante.

Un pirate peut infiltrer votre réseau avec… un fax
Foreshadow : nouvelles failles sur des CPU Intel, avec un arrière-goût de Spectre/Meltdown

Les mauvaises nouvelles n'en finissent plus de tomber pour le fondeur. Dernière brèche d'une longue série débutée en janvier : voici L1 Terminal Fault (L1TF). Il s'agit d'« attaques par canal auxiliaire d’exécution spéculative ».

Trois variantes sont identifiées sous les références CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646. Cette famille de failles est grave puisqu'elle « pourrait permettre à un code malveillant exécuté sur un thread d’accéder à des données du cache L1 de l’autre thread, au sein d’un même cœur », décortique OVH. Intel y va également de son billet de blog technique.

Les brèches restent complexes à exploiter et aucun indice ne laisse penser qu'elles l'aient déjà été. Pour atténuer les risques, il faut installer les dernières mises à jour d'Intel, mais aussi des éditeurs de systèmes d'exploitation.

L'hébergeur roubaisien précise que « dans le cas particulier de la variante 3646 de Foreshadow, un délai pourrait être nécessaire aux éditeurs pour proposer un correctif. En attendant ce dernier, une manière de se prémunir de cette dernière est de désactiver l’Hyper-Threading »… une action avec de lourdes conséquences sur les performances.

Ron Masas d'Imperva explique que cette brèche exploite les balises HTML audio et vidéo pour générer des requêtes précises vers un serveur cible. Celles-ci peuvent être utilisées pour « poser » des questions sur l'utilisateur du navigateur.

Pour cela, le pirate met en place des campagnes publicitaires sur des réseaux sociaux (Facebook par exemple), en utilisant la restriction d'audience pour tous les âges/genres possibles.

Via un site spécialement conçu pour cette attaque, un pirate injecte plusieurs balises vidéo ou audio cachées demandant aux publications programmées sur Facebook de s'afficher. Logiquement, le mécanisme de sécurité Cross-Origin Resource Sharing protège les utilisateurs, mais l'équipe d'Imperva a trouvé un moyen de passer outre cette protection.

Google a bouché la faille dans Chrome 68, mis en ligne fin juillet, et offert une récompense de 500 dollars à Ron Masas.

Une faille dans Blink (Chrome) permettait de « jouer aux devinettes » avec votre vie privée

La société détaille sa mésaventure dans un document déposé au gendarme boursier américain (la SEC), comme l'indique Fortune.

Une activité suspecte a été identifiée durant le week-end du 14 juillet. En réponse, certains systèmes ont été mis hors ligne afin de protéger les données sensibles.

Autre conséquence : du retard dans le traitement des données et pour l'accès des clients aux résultats de leurs tests. LabCorp se veut néanmoins rassurant : « À l'heure actuelle, il n'y a aucune preuve de transfert non autorisé ou de mauvaise utilisation des données ».

Il n'a par contre pas été précisé qui était à l'origine de cette attaque.

Analyses médicales : LaboCorp attaquée, des services temporairement indisponibles

Cette attaque s'est déroulée mi-juillet et ciblait les routeurs HG532 de Huawei, rapporte Bleeping Computer.

Le pirate n'a pas exploité une nouvelle faille, mais une ancienne identifiée dans CVE-2017-17215, permettant d'exécuter du code arbitraire à distance.

Il se fait appeler Anarchy, mais serait également connu sous le nom de Wicked, un pseudo à l'origine de variantes de Mirai. Une triste histoire qui montre à quel point il est facile et rapide de mettre sur pied un botnet de cette envergure...

En une seule journée, un pirate aurait mis en place un botnet avec 18 000 routeurs Huawei
Quand des extensions, navigateurs et applications « jouent » avec vos données personnelles

Fin juillet, AdGuard publiait un billet de blog affirmant que plus de 11 millions de personnes seraient victimes d'un spyware développés par Big Star Labs, une société enregistrée au Delaware.

Les extensions Block Site, Poper Blocker, CrxMouse, ainsi que les applications Speed BOOSTER, Battery Saver ou encore Adblock Prime récupéreraient ainsi des données personnelles.

De son côté, le blogueur allemand Mike Kuketz pointe du doigt l'extension Firefox « Web Security » installée début août par plus de 200 000 utilisateurs et récupérant leur historique de navigation.

Problème : elle était recommandée début août par Mozilla, avant d'être supprimée discrètement de son billet de blog. Désormais, cette extension n'est plus disponible car elle a été « désactivée par un administrateur ».

Comme le détaille Ghacks.net, ce n'est pas la seule dans ce cas : Mozilla a fait du ménage et 23 extensions trop bavardes et/ou curieuses ont ainsi été bloquées.

Parfois, ce sont les navigateurs eux-mêmes qui sont directement en cause. Une équipe de chercheurs belge de l'université de KU Leuven se demande ainsi : « Qui a laissé ouvert le pot de cookies ? ».

Ils ont en effet découvert des vulnérabilités plus ou moins graves dans la gestion des cookies, aussi bien sur Opera, Edge, Chrome que Firefox. Tous les détails techniques se trouvent dans cette publication.

Bref, réfléchissez-y à deux fois avant d'installer une extension et pensez à vérifier les accès qu'elle exige.

Dans un rapport d'une dizaine de pages, des chercheurs d'IBM X-Force Red et Threatcare présentent les résultats de leurs travaux sur ce sujet.

Ils ont identifié 17 failles sur les systèmes utilisés par les villes connectées, dont huit qualifiées de critiques. Une attaque possible serait par exemple de détourner les systèmes d'alerte à la population et créer une panique générale. La fausse attaque par missile balistique sur Hawaï donne une idée de ce qui pourrait se passer.

Les chercheurs donnent enfin quelques pistes pour limiter au maximum les risques… mais comme l'histoire nous le montre régulièrement, le risque zéro est un doux rêve, impossible à obtenir.

Failles de sécurité : les dangers de la « smart city »

Comme le rappelle la CNIL, le Règlement général sur la protection des données (RGPD) impose « de notifier les violations présentant un risque pour les droits et libertés des personnes ».

Au Royaume-Uni, l'Information Commissioner's Office (ICO) enregistre un bond des déclarations. Selon InfoRisk Today, alors qu'elles stagnaient aux alentours de 400 en mars et avril, elles ont grimpé à 700 en mai (le RGPD est entrée en vigueur le 25 mai) pour atteindre... 1 750 en juin.

Attention, cela ne signifie pas que les fuites ont été plus importantes en juillet, simplement que le nombre de signalements a explosé. Auparavant, certains pouvaient certainement être tentés de les passer sous le tapis.

Avec le RGPD, le nombre de signalements de fuites de données a explosé

Le réseau social assure que des centaines de milliers d'applications inactives perdent leurs droits sur les données des membres.

Pour conserver leur accès, les développeurs devaient soumettre leurs applications à un examen approfondi avant le 1er août. Les retardataires peuvent toujours s'y plier.

Facebook compte également les vérifier par lui-même, en demandant aux concepteurs des réponses dans un délai précis.

En mai, le groupe avait retiré l'accès de 200 applications trop indiscrètes jusqu'en 2015, après l'éclatement du scandale Cambridge Analytica en mars.

Facebook coupe l'accès à des applications tierces inactives
Faille de sécurité dans macOS High Sierra : le retour des clics simulés

En octobre 2017, Apple publiait une mise à jour de sécurité de son système d'exploitation. Parmi les changements, un correctif de sécurité (CVE-2017-7150) : « une méthode permettait aux applications de contourner l’invite liée au trousseau d’accès avec un clic simulé ».

Les conséquences étaient graves car une application malveillante pouvait en profiter pour extraire les mots de passe du trousseau. Patrick Wardle était alors remercié par le fabricant. L'expert en informatique ayant auparavant travaillé pour la NSA revient avec une nouvelle attaque fondée sur le même principe.

Il affirme en effet que « le patch d'Apple était incomplet ». Lors d'une démonstration à laquelle Ars Technica  a pu assister, il déclare avoir utilisé son ancienne attaque, mais avec une « erreur » dans le code : au lieu d'envoyer un événement down et up pour simuler un clic de souris, son application a généré deux down.

« Le système convertit le second événement down de la souris en un up. Mais comme cet événement est généré par le système, il est autorisé à interagir avec les fenêtres de sécurité du système ». Interrogé par nos confrères, Apple n'a pas souhaité répondre pour le moment.

Les pirates ont récupéré des informations personnelles de patients s'étant rendu dans des établissements SingHealth entre le 1er mai 2015 et le 4 juillet 2018. Les nom, numéro de carte d'identité, adresse, appartenance ethnique et date de naissance sont concernés.

Des informations sur les prescriptions de 160 000 personnes sont également dans la nature. « Aucun autre dossier patient, tel que les diagnostics, les résultats d'analyses ou les notes des médecins, n'a été volé » affirme le groupe hospitalier. Les personnes concernées sont évidemment contactées.

Selon l'enquête de l'Agence de cybersécurité de Singapour, cette « cyberattaque est délibérée, ciblée et bien planifiée ». Pour la mener à bien, les pirates n'ont eu besoin que d'infiltrer un seul poste de travail. Ils ont ensuite récupéré des identifiants leur permettant d'accéder à la base de données.

« Spécifiquement et à plusieurs reprises », le premier ministre Lee Hsien Loong était la cible des pirates.

Cyberattaque sur des hôpitaux à Singapour : des données de 1,5 million de patients dérobées

C'est au tour du père de Windows de sauter le pas, après des acteurs de taille comme Google ou Mozilla. Dans un billet de blog, on apprend que la build 17723 (Redstone 5) intègre cette fonctionnalité. Elle devrait donc normalement être accessible à tous d'ici la fin de l'année.

Pour rappel, cette API permet d'utiliser un élément de sécurité (clé USB, biométrie, etc.) comme complément à un mot de passe, mais également de remplacer entièrement ce dernier.

Malgré son retard, Microsoft revendique le support le plus complet de Web Authentification, à travers son service Windows Hello qui gère déjà la biométrie ou un code PIN. Les clés de sécurité FIDO2, dont la nouvelle Yubikey de Yubico seront également gérées, ainsi que les précédents modèles U2F (qui ne peuvent remplacer un mot de passe).

Reste à voir si cette possibilité sera étendue au-delà du navigateur Edge, par exemple pour gérer une connexion à la machine via une clé FIDO2, pour le moment réservée aux infrastructures exploitant Azure ActiveDirectory.

Microsoft annonce le support de Web Authentication (WebAuthn) dans son navigateur Edge

À l'approche du Règlement général sur la protection des données (RGPD) le 25 mai, de nombreux sites étrangers ont bloqué l'accès aux Européens, pour éviter de s'y plier.

Selon l'archiviste britannique Joseph O’Connor, repris par le Niemen Lab, plus de 1 000 sites de presse sont toujours inaccessibles dans l'UE, plus de deux mois après l'application du règlement.

Ces titres incluent surtout des titres locaux, mais aussi quelques grands noms, comme le Los Angeles Times. Reste maintenant à compter ceux qui respectent réellement les dispositions du RGPD.

RGPD : 1 000 sites médias américains restent inaccessibles en Europe
WhatsApp : une vulnérabilité permet de manipuler des messages

Trois chercheurs de Check Point expliquent en détail leur trouvaille, vidéo de démonstration à l'appui. Trois vecteurs d'attaque sont présentés :

  • Modifier l'auteur d'une citation dans une conversation de groupe
  • Modifier le message d'une personne lorsque vous la citez
  • Faire passer un message public pour privé, exposant au groupe la réponse de votre interlocuteur

Pour arriver à leurs fins, les chercheurs n'ont pas cassé le chiffrement de bout en bout de WhatsApp, mais ont déchiffré les messages sur un ordinateur. Les clés peuvent en effet y être obtenues juste avant que le QR Code servant à le coupler avec votre smartphone ne soit généré.

Les messages peuvent ensuite être déchiffrés et modifiés avant d'être renvoyés. La synchronisation fait ensuite son œuvre et renvoie l'ensemble sur les smartphones. Le principal risque mis en avant par Check Point concerne la diffusion de fausses informations, WhatsApp étant souvent cité comme un relais important.

De son côté, l'équipe en charge de la messagerie instantanée n'a « pas l'intention de modifier WhatsApp pour le moment », comme le rapporte The Hacker News. « Cette situation tient au fait que nous ne stockons pas les messages sur nos serveurs, nous n'avons donc pas de source vérifiable pour ces messages » explique la société.

WhatsApp signale à nos confrères que les utilisateurs ont toujours la possibilité de bloquer un utilisateur modifiant des messages... à condition de le remarquer évidemment.

Fin juillet, le réseau social a révélé cette purge, menée entre avril et juin. Les applications en question enfreignaient les règles de son API, en générant du spam, en manipulant les conversation ou en envahissant la vie privée des membres, assure la plateforme.

Elle ajoute de nouvelles contraintes pour les nouveaux arrivants, qui devront créer un compte développeur, à valider par le service. Il sera exigé par la suite aux applications déjà en place. Chaque développeur ne pourra créer que dix applications, en indiquant l'utilisation prévue des données (via l'API) au préalable.

Des vérifications supplémentaires peuvent intervenir, y compris si l'application change de comportement en cours de route. À compter de septembre, la quantité de requêtes API sera bien plus limité par défaut. Dans le détail : 300 accès aux tweets et retweets par heure, 1 000 J'aime et abonnements par jour et 15 000 messages privés.

Les applications aux besoins légitimes (selon Twitter) pourront revenir au niveau actuel. Ces mesures ressemblent à une nouvelle conséquence du scandale Cambridge Analytica, qui a plongé Facebook dans la tourmente en début d'année, en premier lieu face aux autorités.

À la mi-mai, Facebook suspendait 200 applications trop gourmandes en données personnelles avant 2015. L'effort a inspiré un tour de vis chez ses homologues. Début juillet, le Wall Street Journal rappelait que les concepteurs d'applications pour Gmail avaient la capacité de lire les courriels, si les internautes les y autorisent.

Twitter bannit 143 000 applications tierces et érige de nouvelles règles

Parfois, nul besoin de développer des trésors d'ingéniosité pour récupérer des données sensibles : elles sont accessibles via une simple URL.

C'est la mésaventure d'Amazon et GoDaddy au milieu du mois d'août. UpGuard découvre le pot aux roses mi-juin avec le bucket abbottgodaddy librement accessible. Ce genre de dossier est privé par défaut, mais il est possible de le rendre public si besoin.

Dans le cas présent, il semble qu'AWS soit responsable : « Le compartiment en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS potentiels tout en travaillant avec un client [...] le commercial n'a pas suivi les meilleures pratiques d'AWS avec ce compartiment » répond un porte-parole d'Amazon.

Il ajoute que le bucket ne contenait aucune information sur des clients GoDaddy. Le dossier en question contenait plusieurs versions d'un tableur GDDY_cloud_master_data_1205 (AWS r10).xlsx dont la dernière version pèse tout de même 17 Mo. Il s'agit essentiellement de données correspondant à un déploiement d’infrastructure à très grande échelle.

Un porte-parole de GoDaddy donne sa version des faits à Engadget : « Les documents exposés étaient des modèles spéculatifs d'un employé d'AWS, ils ne reflètent pas le travail en cours avec Amazon ».

GoDaddy a été notifié le 20 juin et a répondu à UpGuard le... 26 juillet. Le même jour, UpGuard confirme que la fuite de donnée était bouchée. Interrogé sur ce temps de réponse, GoDaddy n'a pas souhaité répondre.

Des informations sur l'infrastructure de GoDaddy étaient en accès libre sur Amazon S3

À la conférence Black Hat USA début août, le chercheur Sam Thomas a révélé une vulnérabilité ouvrant un large champ de possibilités. Elle réside dans la désérialisation de PHP, destinée à décoder des données, qui permet aussi d'initialiser des classes PHP via une chaine de caractères.

Elle concerne notamment Wordpress, le CMS le plus utilisé dans le monde. L'attaque consiste à créer une archive PHP (Phar), dont on change les 100 premiers octets pour obtenir un fichier JPEG valide. Ce dernier est ensuite mis en ligne sur un blog Wordpress, avec les identifiants d'un utilisateur.

La fonction de Wordpress qui génère les vignettes est ensuite appelée. En tentant de décoder le contenu de cette fausse image (en réalité un fichier Phar), elle exécute les potentiels appels vers les classes PHP présentes dans le logiciel.

La mise en ligne du faux fichier JPEG nécessite d'avoir les droits d'édition sur le blog Wordpress, ce qui passe par un compte Auteur (ou supérieur), dont il faut obtenir les identifiants.

La vulnérabilité a été signalée en février 2017, via la plateforme HackerOne. Elle ne serait pas encore corrigée.

D'autres CMS sont concernés, dont Typo3. Avertis le 9 juin, les développeurs ont rapidement comblé la faille dans les versions 7.6.30, 8.7.17 et 9.3, publiées trois jours plus tard. Pour The Register, le risque n'est pas si élevé que suggéré. La compromission complète du système ne serait pas envisageable par ce biais.

Une faille PHP permet d'exécuter du code via Wordpress

Aucune entrée pour les catégories selectionnées.