Les mises à jour WordPress pleuvent ces dernières semaines. Et alors qu’une importante release était publiée il y a quelques semaines – WordPress 4.2 Powell -, c’est déjà un second patch de sécurité qui est aujourd’hui déployé par l’éditeur du célèbre système de gestion de contenu : WordPress 4.2.2.
Sont concernées les deux vulnérabilités suivantes :
- Un fichier HTML contenu au sein de la font Genericons permettant une attaque de type XSS (cross-site scripting). A noter que ce souci de sécurité concerne le thème officiel par défaut sur toutes les installations du CMS depuis WordPress 4.1 dévoilé en décembre 2014 : Twenty Fifteen.
- Une seconde faille XSS touche également WordPress 4.2, ainsi que toutes les versions antérieures, offrant la possibilité à une personne mal intentionnée non authentifiée de compromettre l’installation.
Parallèlement et de manière moins critique, des vérifications plus sévères sont réalisées au niveau de l’éditeur de texte enrichi pour éviter de potentielles attaques XSS.
C’est finalement 13 dysfonctionnements qui ont été corrigés dans cette version de WordPress 4.2.2.
Comme vous l’aurez certainement compris, il vous faudra mettre à jour le système de gestion de contenu en lui-même, si ce n’est pas déjà fait au travers du système de mise à jour automatique, mais aussi le thème Twenty Fifteen, qui lui impliquera bel et bien une action manuelle.
