Vulnérabilité des sites web : WordPress corrige en urgence une 2e faille critique

C’est la deuxième fois en une semaine que WordPress, l’une des plateformes de publication web les plus utilisées dans le monde, corrige une vulnérabilité affectant notamment sa plate-forme de publication de commentaires.

WordPress a publié tout récemment « en urgence » un second patch pour combler une vulnérabilité critique dans sa plate-forme de publication web et ce, moins d’une semaine après la correction d’un problème similaire.

Les administrateurs sont donc invités à passer à la version 4.2.1 de WordPress. Certains sites qui sont compatibles avec ce CMS (système de gestion de contenu) et utilisent un plugin appelé Background Update Tester seront automatiquement mis à jour.

Selon les propres estimations de la société, il anime 23% des sites sur Internet, avec de grands noms tels que Time ou CNN.

En rappel, le 21 avril 2015, WordPress avait corrigé une vulnérabilité similaire à celle découverte par Jouko Pynnönen, chercheur travaillant dans une société finlandaise appelée « Klikki Oy ».

Cette vulnérabilité baptisée « cross-site scripting » (scriptage inter-sites) est l’une des plus dangereuses sur le web, car elle permet d’exécuter n’importe quel code.

Si un administrateur WordPress est connecté, lorsque le commentaire malveillant est parcouru, l’attaquant peut alors exécuter un code arbitraire sur le serveur via les plug-ins et les éditeurs de thème.

Il est alors également possible, selon le site « lemondeinformatique.fr », de changer le mot de passe de l’administrateur, de créer de nouveaux comptes d’administrateurs ou de manipuler du contenu sur un site. Cette vulnérabilité ne peut toutefois causer de dommages lorsqu’un lecteur ordinaire regarde un commentaire.

La firme finnoise a déclaré qu’elle avait essayé de notifier WordPress du problème via l’autorité de sécurité informatique finlandaise, CERT-FI et HackerOne, qui offre un service de gestion des rapports et de récompenses pour la découverte de vulnérabilités.

Synthèse de Noufou KINDO

Burkina24

Noufou KINDO

@noufou_kindo s'intéresse aux questions liées au développement inclusif et durable. Il parle Population et Développement.

Articles similaires

Un commentaire

  1. Raz le bol de leurs failles critiques, c’est de une ? trois par semaine, la terre ne s’arr?te pas de tourner et de toute fa?on nos donn?es sont d?j? archi ultra pirat?es par Google et Facebook. Que voulez-vous qu’il nous arrive de plus ? Se faire piquer ses donn?es bancaires ? Bon, on fait gaffe quoi, mais m?me dans un bas de laine notre fric (enfin le peu qu’on a de fric) risquera de se faire piquer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page