WordPress – Faille de sécurité XSS critique

Le 27 avril 2015, WordPress est (encore) sous le feu des projecteurs à cause d’une faille critique au niveau des commentaires.

Jouko Pynnönen a décelé une faille dans le système de commentaires de WordPress, permettant à un attaquant d’injecter du code Javascript, provoquant une faille XSS. Cette faille est critique puisqu’elle permettrait (d’après les dires / proof-of-concept de Pynnönen) non seulement de « casser » le site, mais en plus de pouvoir infecter le PC du ou des administrateurs du / des sites utilisant ce CMS dans certaines conditions… !

Vous pouvez retrouver des informations complémentaires à cette adresse.

WordPress 4.2.1 corrige cette vulnérabilité (élevée au rang de « Zero-Day »… !) – Patchez très vite vos WordPress !
Toutefois, si vous n’avez pas la possibilité de faire la mise à jour, vous pouvez vous rediriger sur une extension alternative de commentaires comme « wpDiscuz » ou encore le très connu « Disqus », non seulement pour intégrer de nouvelles fonctionnalités dans vos commentaires mais aussi contourner la faille.

Source

2 commentaires

  1. WordPress n’est pas un nid de faille de securite.Il y en a aussi sur magento,sur drupal et joomla.

    1. Tous les systèmes ont des failles, c’est indéniable.
      Cette faille de sécurité s’est révélée assez désastreuse lorsqu’elle était / est exploitée, donc mieux vaut mettre en garde les utilisateurs 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
Share This
Fermer