Actualités

WordPress : nouvelle mouture 4.2.1 pour colmater une faille critique dans les commentaires !

Parfois, les mots ne viennent pas facilement, que cela soit pour parler à quelqu’un ou tout simplement débuter une accroche mais, malheureusement, il n’en va pas de même pour les failles informatiques qui, elles, trouvent toujours leur chemin sinueux et douteux puisque l’interface de rédaction WordPress vient de publier, hier, une mise à jour corrective d’urgence afin de colmater une faille critique qui visait à injecter du code malveillant à travers un commentaire !

 

Wordpress_vérolé failles

 

En effet, estampillé 4.2.1 depuis Lundi dernier, le CMS comblait une vulnérabilité de type XSS (Cross-site scripting) qui permettait d’outrepasser la taille maximal des commentaires (64 Ko), permettant ainsi à l’individu malveillant d’injecter du code malicieux, de type JavaScript : “Si le texte du commentaire est assez long, il sera tronqué lorsqu’il est inséré dans la base de données. Afin que le commentaire soit assez long, la taille maximale de type TEXTE dans MySQL est de 64 Ko […] Au choix, l’attaquant peut changer le mot de passe administrateur, créer de nouveaux comptes administrateur, ou faire tout ce que l’administrateur actuellement connecté peut faire sur le système cible” est-il ainsi détaillé sur le site officiel de Jouko Pynnönen, Klikki.fi, dans un billet du 26 Avril dernier.

 

Wordpress_piratage

Affectant vraisemblablement toutes les versions antérieures à WordPress (celles testées et confirmées par son auteur étant les suivantes : 4.2, 4.1.2, 4.1.1, 3.9.3), la faille présentait de fortes similitudes avec celle découverte par Cédric Van Bockhaven (depuis le 23 Février 2014 et corrigée depuis peu, le week-end dernier !) à la différence, toutefois, qu’afin que le script se charge, le commentaire devait être mis en ligne, approuvé, donc.

Ainsi et si ce n’est déjà fait via l’alerte automatique de mise à jour via votre interface WordPress, en mode administrateur, le site officiel recommande vivement de mettre à jour le CMS en version 4.2.1, disponible depuis le hier, le 27 Avril 2015, en rappelant de redoubler de vigilance lorsque vous validez un commentaire, même si le filtre “indésirables” assure, normalement, ce rôle, en supprimant des liens douteux et en n’approuvant pas, bien évidemment, par exemple, des spams à rallonge d’url douteuses… A suivre !

 

Source : Zdnet.fr




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1