Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

Des trous, des p'tits trous, encore des p'tits trous 39
En bref
image dediée
Crédits : inbj/iStock
Securité
Sébastien Gavois

WordPress vient d'annoncer une mise à jour de sécurité critique estampillée 4.1.2. Elle corrige plusieurs failles, dont une qui pourrait permettre à n'importe qui de compromettre un site WordPress. Dans le même temps, de nombreux plugins ont également été mis à jour à cause d'une autre brèche.

WordPress 4.1.2 est disponible et il est fortement conseillé de se mettre à jour

Les sites fonctionnant sous WordPress sont régulièrement la cible de pirates qui exploitent des failles de sécurités sur le CMS lui-même ou bien sur ses plugins. On se souvient par exemple des 100 000 sites infectés à cause d'une brèche sur Slider Revolution et de la récente mise en garde du FBI.

Hasard ou pas du calendrier, WordPress vient justement de publier une importante mise à jour estampillée 4.1.2. L'équipe en charge du projet explique que « les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site ». Mais ce n'est pas tout et trois autres failles sont également bouchées.

Les plugins sont également touchés par une possible attaque par injection SQL

La première concerne WordPress 4.1 où il est possible d'uploader des fichiers non autorisés. La deuxième se trouve sur toutes les moutures 3.9 et plus récentes, et elle prend là aussi la forme d'une brèche XSS, mais à la portée « limitée » apparemment. Tout aussi inquiétant, « certains plugins étaient vulnérables à une attaque par injection SQL ».

Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () que « de nombreux plugins les utilisent à tort, ouvrant la porte à de potentiels vecteurs d'attaque XSS dans leur code ».

De fait, de nombreux plugins ont donc été mis à jour et, en plus de WordPress 4.1.2, il est recommandé de faire un tour de ce côté-là afin de vérifier que tout va bien. On remarquera que, cette fois encore, WordPress ne mentionne absolument pas l'annonce de Malwarebytes sur une campagne d'infection. Pour rappel, le CMS n'avait pas non plus souhaité répondre à nos questions sur le sujet.


chargement
Chargement des commentaires...