C’est hier qu’était dévoilée une vulnérabilité critique de WordPress permettant à un internaute non identifié d’injecter du code JavaScript au sein d’un commentaire, exécuté lors de la visualisation dudit commentaire. La lecture de ce commentaire par un administrateur pouvait offrir à cette personne mal intentionnée la possibilité d’exécuter du code sur le serveur via les éditeurs d’extensions et thèmes. En d’autres termes, modifier le mot de passe de l’administrateur, créer un second compte avec les mêmes privilèges, etc.
Démonstration de cette faille XSS en vidéo :
A quelques jours de la sortie de WordPress 4.2 et alors que nous vous parlions hier d’activer l’authentification forte sur votre compte WordPress.com, plateforme qui n’est d’ailleurs par concernée par la vulnérabilité en question, c’est tout naturellement que WordPress 4.2.1 est déployé au travers du système d’installation automatique de mises à jour mineures.
[…] C'est hier qu'était dévoilée une vulnérabilité critique de WordPress permettant à un internaute non identifié d'injecter du code JavaScript au sein d'un commentaire. […]