WordPress publie un deuxième correctif en urgence

La plateforme de publication web WordPress a été victime d’une faille de sécurité critique se situant dans le module des commentaires. Un malware affecte la plateforme lorsque quelqu’un regarde un commentaire sur un site géré par WordPress. La personne malveillante souhaitant exploiter cette faille pouvait prendre le contrôle de l’administration de la plateforme en se servant d’une faille XSS présente dans les commentaires.

Ce lundi 27 avril 215, WordPress a donc publié en urgence un patch pour combler cette vulnérabilité. Les administrateurs de la plateforme sont invités à mettre à jour WP en version 4.2.1. Les sites qui sont compatibles avec ce CMS et qui utilisent le plugin « Background Update Tester » seront mis à jour automatiquement. Selon WordPress, la plateforme serait utilisée par 23% des sites Internet dans le monde, donc certains très populaires comme CNN.

Wordpress

Une autre faille avait été corrigée par WordPress le 21 avril dernier. Cette faille était également active lors de la lecture de commentaires. Ce type d’attaque est appelé attaque par cross-scripting et expose les sites infectés à la prise de contrôle par une personne malveillante. Cette vulnérabilité repose sur une attaque de type XSS et permet d’injecter du code malveillant sous JavaScript dans un commentaire WordPress d’au moins 66 000 caractères. Cette première faille avait été corrigée avec la version WordPress 4.2.1.

Pour corriger cette ancienne faille, il s’est écoulé 14 mois entre sa découverte par Cédric van Bockhaven et la mise en place d’un patch. Le chercheur en sécurité informatique Finlandais Jouko Pynnönen a dévoilé cette seconde faille ce lundi 27 avril expliquant que la plateforme avait mis beaucoup de temps pour déployer un correctif pour la faille découverte par son confrère Cédric van Bockhaven.

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here