WordPress 4.1.2 & failles XSS dans de nombreux plugins

Il y a quelques jours seulement, WordPress mettait à jour son API REST après avoir découvert une importante vulnérabilité. De la même manière, l’éditeur du célèbre système de gestion de contenu a poussé hier soir une mise à jour critique de sécurité : WordPress 4.1.2.

WordPress 4.1.2 pour plus de sécurité

Est montrée du doigt une faille de type cross-site scripting, plus connue sous l’acronyme XSS, offrant à des personnes malveillantes la possibilité de compromettre l’installation. Automattic en profite de plus pour corriger trois autres vulnérabilités :

• A partir de WordPress 4.1, il était jusque là possible d’envoyer des fichiers nommés de manière invalide ou non sécurisée.
• A partir de WordPress 3.9 et jusqu’à maintenant, une faille XSS pouvait être intégrée à une attaque de social engineering.
• Un problème d’injection SQL concernait certaines extensions.

Comme toujours, pour beaucoup la mise à jour sera appliquée sans même l’intervention de l’éditeur ou du responsable du site grâce au processus de mise à jour automatique concernant les mises à jour mineures de WordPress.

Des extensions majeures vulnérables

Nous apprenions de plus il y a quelques jours la présence de failles XSS au sein de nombreux plugins pourtant célèbres et donc a priori bien suivis en ce qui concerne leurs lignes de code.

Serait mis en cause un manque de documentation au sein du Codex, et donc une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress.

A titre d’exemple, voici un échantillon des extensions concernées :

• WordPress SEO
• Jetpack
• All In one SEO
• WPTouch
• Ninja Forms

Vous l’aurez compris, il est vivement recommandé de rapidement mettre à jour ces plugins afin de limiter tout risque d’attaque de votre installation WordPress.

Via & Via