Wordpress - Faille de sécurité XSS critique

Infosec avr. 29, 2015

Le 27 avril 2015, WordPress est (encore) sous le feu des projecteurs à cause d’une faille critique au niveau des commentaires.

Jouko Pynnönen a décelé une faille dans le système de commentaires de WordPress, permettant à un attaquant d’injecter du code Javascript, provoquant une faille XSS. Cette faille est critique puisqu’elle permettrait (d’après les dires / proof-of-concept de Pynnönen) non seulement de « casser » le site, mais en plus de pouvoir infecter le PC du ou des administrateurs du / des sites utilisant ce CMS dans certaines conditions… !

Vous pouvez retrouver des informations complémentaires à cette adresse.

WordPress 4.2.1 corrige cette vulnérabilité (élevée au rang de « Zero-Day »… !) – Patchez très vite vos WordPress !
Toutefois, si vous n’avez pas la possibilité de faire la mise à jour, vous pouvez vous rediriger sur une extension alternative de commentaires comme « wpDiscuz » ou encore le très connu « Disqus », non seulement pour intégrer de nouvelles fonctionnalités dans vos commentaires mais aussi contourner la faille.

Source

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.