WordPress publie une mise à jour 4.2.2 du système de gestion de contenu. Cette mise à jour est une nouvelle fois critique et corrige deux vulnérabilités de sécurité en plus de treize bugs sans impératif de sécurité.
Chercheur en sécurité chez Sucuri, David Dede indique qu'une attaque a été détectée plusieurs jours avant la divulgation de la vulnérabilité. Celle-ci est de type XSS (Cross-Site Scripting) et liée à un problème au niveau du paquet Genericons (icônes vectorielles) et plus particulièrement un fichier example.html.
Tout plugin utilisant ce paquet est a priori vulnérable. La charge utile XSS est exécutée directement dans le navigateur sans être jamais envoyée sur le serveur, explique le chercheur en sécurité informatique. L'exploitation a lieu au niveau du DOM (Document Object Model).
La vulnérabilité peut par exemple être exploitée pour exécuter du code JavaScript dans le navigateur (via un clic sur un lien malveillant) et prendre le contrôle d'un site si l'utilisateur pris pour cible est connecté en tant qu'administrateur.