Le 27 avril 2015, WordPress est (encore) sous le feu des projecteurs à cause d’une faille critique au niveau des commentaires.

Jouko Pynnönen a décelé une faille dans le système de commentaires de WordPress, permettant à un attaquant d’injecter du code Javascript, provoquant une faille XSS. Cette faille est critique puisqu’elle permettrait (d’après les dires / proof-of-concept de Pynnönen) non seulement de « casser » le site, mais en plus de pouvoir infecter le PC du ou des administrateurs du / des sites utilisant ce CMS dans certaines conditions… !

Vous pouvez retrouver des informations complémentaires à cette adresse.

WordPress 4.2.1 corrige cette vulnérabilité (élevée au rang de « Zero-Day »… !) – Patchez très vite vos WordPress !
Toutefois, si vous n’avez pas la possibilité de faire la mise à jour, vous pouvez vous rediriger sur une extension alternative de commentaires comme « wpDiscuz » ou encore le très connu « Disqus », non seulement pour intégrer de nouvelles fonctionnalités dans vos commentaires mais aussi contourner la faille.

Source