WordPress publie une mise à jour 4.2.2 du système de gestion de contenu. Cette mise à jour est une nouvelle fois critique et corrige deux vulnérabilités de sécurité en plus de treize bugs sans impératif de sécurité.

Wordpress S'il y a urgence, c'est parce qu'une vulnérabilité affecte le populaire plugin JetPack (plus d'un million d'installations actives) et le thème Twenty Fifteen installé par défaut sur les sites WordPress. Et manque de chance, des attaquants ont déjà commencé à exploiter la vulnérabilité. Des millions de sites WordPress sont sous la menace.

Chercheur en sécurité chez Sucuri, David Dede indique qu'une attaque a été détectée plusieurs jours avant la divulgation de la vulnérabilité. Celle-ci est de type XSS (Cross-Site Scripting) et liée à un problème au niveau du paquet Genericons (icônes vectorielles) et plus particulièrement un fichier example.html.

Tout plugin utilisant ce paquet est a priori vulnérable. La charge utile XSS est exécutée directement dans le navigateur sans être jamais envoyée sur le serveur, explique le chercheur en sécurité informatique. L'exploitation a lieu au niveau du DOM (Document Object Model).

La vulnérabilité peut par exemple être exploitée pour exécuter du code JavaScript dans le navigateur (via un clic sur un lien malveillant) et prendre le contrôle d'un site si l'utilisateur pris pour cible est connecté en tant qu'administrateur.