Nouvelle urgence pour WordPress

Le par  |  0 commentaire(s)
donnees-binaires

Un exploit est dans la nature et des millions de sites WordPress sont à risque. Une mise à jour de sécurité critique est à appliquer sans tarder.

WordPress publie une mise à jour 4.2.2 du système de gestion de contenu. Cette mise à jour est une nouvelle fois critique et corrige deux vulnérabilités de sécurité en plus de treize bugs sans impératif de sécurité.

WordpressS'il y a urgence, c'est parce qu'une vulnérabilité affecte le populaire plugin JetPack (plus d'un million d'installations actives) et le thème Twenty Fifteen installé par défaut sur les sites WordPress. Et manque de chance, des attaquants ont déjà commencé à exploiter la vulnérabilité. Des millions de sites WordPress sont sous la menace.

Chercheur en sécurité chez Sucuri, David Dede indique qu'une attaque a été détectée plusieurs jours avant la divulgation de la vulnérabilité. Celle-ci est de type XSS (Cross-Site Scripting) et liée à un problème au niveau du paquet Genericons (icônes vectorielles) et plus particulièrement un fichier example.html.

Tout plugin utilisant ce paquet est a priori vulnérable. La charge utile XSS est exécutée directement dans le navigateur sans être jamais envoyée sur le serveur, explique le chercheur en sécurité informatique. L'exploitation a lieu au niveau du DOM (Document Object Model).

La vulnérabilité peut par exemple être exploitée pour exécuter du code JavaScript dans le navigateur (via un clic sur un lien malveillant) et prendre le contrôle d'un site si l'utilisateur pris pour cible est connecté en tant qu'administrateur.

Complément d'information
  • Sécurité : WordPress victime de codes malicieux
    Le célèbre moteur de sites Web open source WordPress a été victime de codes malveillants émanant de trois de ses extensions les plus célèbres. Deux millions de mots de passe de comptes sur WordPress.org ont été réinitialisés par ...
  • WordPress : mise à jour de sécurité urgente
    L'une des plateformes de blogs les plus populaires au monde bénéficie d'une mise à jour de sécurité présentée comme très importante.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]