WordPress 4.0.1 : Mise à jour critique à installer

2
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 2 vote(s))
Logo WordPress

Après avoir dévoilé WordPress 4.0 Benny en septembre, dont nous vous présentions d’ailleurs toutes les nouveautés en détails, l’éditeur du célèbre système de gestion de contenu Automattic vient tout juste de dévoiler une mise à jour critique pour la dernière branche de son produit : WordPress 4.0.1. Peut-être avez-vous d’ailleurs déjà reçu le mail de notification de mise à jour automatique.

WordPress 4.0 n’est d’ailleurs pas la seule version concernée puisqu’on également été déployées les releases suivantes : WordPress 3.9.3, WordPress 3.8.5 ainsi que WordPress 3.7.5.

Alors que ces dernières versions ne sont visiblement uniquement concernées par une faille XSS, qui reste critique, WordPress 4.0.1 est quant à lui touché par plusieurs sérieuses vulnérabilités :

  • Trois failles XSS pouvant être exploitées par les utilisateurs détenant les rôles Contributeur ou Auteur afin de compromettre le site
  • Une faille CSRF utilisable afin de pousser un utilisateur à changer son mot de passe
  • Une vulnérabilité pouvant mener à un déni de service au niveau de la vérification des mots de passe
  • Une collision au niveau de hashs étant en mesure de compromettre un compte utilisateur (pour peu que sa date de dernière connexion remonte à 2008)

Sont de plus à noter les améliorations suivantes, pour corriger des failles critiques supplémentaires :

  • Une meilleure protection contre les attaques SSRF concernant les requêtes HTTP initiées par WordPress
  • Les liens de réinitialisation de mot de passe sont désormais invalidés dans le cas où l’utilisateur se rappelle de son mot de passe, se connecte et change son adresse email

Pas moins de 23 corrections de bugs mineurs sont finalement à souligner, en plus de deux changements importants impliquant notamment la validation des données EXIF lors de l’upload de photos.

Vous l’aurez compris, il s’agit de rapidement mettre à jour vos installations WordPress, si ce n’est pas déjà fait de manière automatique par le système mis en place au sein de WordPress 3.7.

Via

2 Commentaires

  1. Merci pour ces quelques informations. Il ne faut jamais oublier pour les rédacteurs web et les webmasters de mettre à jour son WordPress, il ne faut pas avoir peur des modifications, c’est un gain bien plus élevé et chaque petit problème – s’il y en a – peut être facilement contourné.

LAISSER UN COMMENTAIRE

Message du commentaire manquant
Auteur du commentaire manquant