Discussion :

[Olivier Famien]

WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité
incluant une faille de type injection SQL et cross-site scripting

Au début de ce mois, l’équipe de WordPress a sorti la version 4.7.1 de son système de gestion de contenu (CMS en anglais). Cette version a été largement dédiée à la correction de failles de sécurité et de bogues. En tout, 8 failles de sécurité ont été corrigées et 62 bogues ont été épurés dans cette version.

Deux semaines après la sortie de la version 4.7.1 de WordPress, l’équipe de développement du système de gestion de contenu revient sur la scène pour annoncer la sortie d’une nouvelle version (4.7.2) du CMS afin de corriger trois failles de sécurité détectées dans la version précédente (4.7.1).

La première faille que cette nouvelle version 4.7.2 corrige est celle présente dans la fonction Press This permettant aux utilisateurs WordPress de faire des publications. Cette fonction est accessible aux utilisateurs non autorisés et leur permet d’assigner les items de catégories avec cette fonction alors que cela ne devrait pas être le cas.

À côté de cette faille, nous avons une vulnérabilité de type XSS (Cross-site scripting) qui a été également corrigée. Les failles XSS sont des failles détectées sur des sites web et qui permettent d’injecter du contenu dans ces pages afin de provoquer des actions non prévues par l’administrateur du site. Dans le cas du correctif apporté par la version 4.7.2 de WordPress, il corrige la faille XSS liée à la classe qui gère la table des listes de messages.

Une faille non des moindres a également été corrigée dans cette version. Elle situe au niveau de l'API REST et permet à une personne non autorisée d'élever ses privilèges en envoyant du code malveillant vers l'API. Une fois le code reçu par l'API, les personnes malveillantes peuvent en profiter pour éditer les pages web contenant ce bug. A noter que cette faille est présente depuis la version 4.7 de WordPress parue en décembre dernier.

Enfin, la dernière vulnérabilité à avoir été remaniée dans cette version 4.7.2 de WordPress est une faille favorisant une injection SQL. En général, une telle faille permet d’injecter dans une requête SQL du code non prévu par le système afin de compromettre la sécurité de l’application interagissant avec la base de données. Pour ce qui concerne WordPress 4.7.1, la faille détectée dans cette version affecte la classe WP_QUERY lorsque l’on passe des données non sécurisées. Cette classe est utilisée pour accéder aux variables, fonctions et aux contrôles codés dans le noyau de WordPress. Toutefois, l’équipe de WordPress explique que le noyau du CMS n’est pas directement affecté par ce problème, mais a ajouté ce correctif pour empêcher les plug-ins et les thèmes de provoquer accidentellement une vulnérabilité.

Vu l’importance des différentes vulnérabilités corrigées, l’équipe de WordPress encourage vivement l’application de la mise disponible depuis quelques jours.

Source : WordPress

Et vous ?

Utilisez-vous ce CMS ?

Que pensez-vous de ces failles couramment détectées ?

Voir aussi

WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters

La Rubrique Web, Forum Sécurité Web, Cours et tutoriels Web, FAQ Web

[sami_c]

Utilisez-vous ce CMS ?
>> Oui

Que pensez-vous de ces failles couramment détectées ?
>> Que les créateurs de WP sont très réactif et sont conscient de l'importance de WP dans le Web. Bien sûr certains vous diront que c'est naz et que les CMS sont mal sécurisé, c'est vrai mais ça dépend du projet, certains peuvent être développé via un framework, d'autres pas, ça dépend du budget alloué. Si un client vous demande de développer un site vitrine, vous avez le choix entre lui proposer de développer le site en WP pour 1000 EUR ou en Symfony pour 2000 EUR !!! Je vous laisse imaginer le choix du client :p