WordPress – Faille de sécurité XSS critique

Le 27 avril 2015, WordPress est (encore) sous le feu des projecteurs à cause d’une faille critique au niveau des commentaires.

Jouko Pynnönen a décelé une faille dans le système de commentaires de WordPress, permettant à un attaquant d’injecter du code Javascript, provoquant une faille XSS. Cette faille est critique puisqu’elle permettrait (d’après les dires / proof-of-concept de Pynnönen) non seulement de « casser » le site, mais en plus de pouvoir infecter le PC du ou des administrateurs du / des sites utilisant ce CMS dans certaines conditions… !

Vous pouvez retrouver des informations complémentaires à cette adresse.

WordPress 4.2.1 corrige cette vulnérabilité (élevée au rang de « Zero-Day »… !) – Patchez très vite vos WordPress !
Toutefois, si vous n’avez pas la possibilité de faire la mise à jour, vous pouvez vous rediriger sur une extension alternative de commentaires comme « wpDiscuz » ou encore le très connu « Disqus », non seulement pour intégrer de nouvelles fonctionnalités dans vos commentaires mais aussi contourner la faille.

Source

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

2 commentaires

  1. WordPress n’est pas un nid de faille de securite.Il y en a aussi sur magento,sur drupal et joomla.

    1. Tous les systèmes ont des failles, c’est indéniable.
      Cette faille de sécurité s’est révélée assez désastreuse lorsqu’elle était / est exploitée, donc mieux vaut mettre en garde les utilisateurs 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This
Fermer
Fermer