Le plugin Jetpack pour WordPress est indubitablement populaire puisqu'il affiche au compteur plus d'un million d'installations actives. Le souci est qu'une vulnérabilité de sécurité y a été trouvée. Elle affecte toutes les versions de Jetpack disponibles depuis 2012.
La précaution à prendre est de passer à la version 4.0.3 de Jetpack proposée depuis le 26 mai et qui comble ladite faille. Cette dernière a été découverte et rapportée par la société de sécurité Sucuri le 12 mai.
De type XSS (Cross-Site Scripting), la vulnérabilité est due à un bug dans le module Shortcode Embeds de Jetpack qui permet d'intégrer des vidéos YouTube, tweets et d'autres contenus média sur le Web directement dans un site motorisé par WordPress.
Si ce module n'a pas été activé, il n'y pas de risque. Sinon, la faille peut être exploitée via un commentaire contenant une balise de texte spécifique pour injecter du code JavaScript malveillant sur le site vulnérable.
Sucuri évoque la possibilité pour un attaquant de détourner un compte administrateur, injecter du spam de référencement et rediriger les internautes vers des sites malveillants. Maintenant que la vulnérabilité est divulguée, il va sans dire que le correctif est à appliquer d'urgence.
