WordPress 4.2.1 : Faille XSS critique corrigée

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 4 vote(s))
Baptiste Développement web 1
WordPress 4.2.1 : Faille XSS critique corrigée

C’est hier qu’était dévoilée une vulnérabilité critique de WordPress permettant à un internaute non identifié d’injecter du code JavaScript au sein d’un commentaire, exécuté lors de la visualisation dudit commentaire. La lecture de ce commentaire par un administrateur pouvait offrir à cette personne mal intentionnée la possibilité d’exécuter du code sur le serveur via les éditeurs d’extensions et thèmes. En d’autres termes, modifier le mot de passe de l’administrateur, créer un second compte avec les mêmes privilèges, etc.

Démonstration de cette faille XSS en vidéo :

Image de prévisualisation YouTube

A quelques jours de la sortie de WordPress 4.2 et alors que nous vous parlions hier d’activer l’authentification forte sur votre compte WordPress.com, plateforme qui n’est d’ailleurs par concernée par la vulnérabilité en question, c’est tout naturellement que WordPress 4.2.1 est déployé au travers du système d’installation automatique de mises à jour mineures.

Via & Via

Laisser un commentaire

Un commentaire le "WordPress 4.2.1 : Faille XSS critique corrigée"

    Rétroliens de cet article

    1. WordPress 4.2.1 : Faille XSS critique corrig&ea...