WordPress mise à jour 4.72 vraiment urgente

WordPress mise à jour 4.72 vraiment urgente

Une vulnérabilité particulièrement dangereuse, patchée depuis peu, pourrait permettre à des utilisateurs non authentifiés de modifier n’importe quel article ou n’importe quelle page d’un site WordPress.

 

WordPress corrige discrètement une faille vraiment critique

La semaine dernière, les développeurs du très populaire système de gestion de contenu (CMS) WordPress ont publié une mise à jour sans préciser que celle-ci corrigeait une très sérieuse vulnérabilité. Lors de sa livraison le 26 janvier, ces derniers ont bien précisé que la version 4.7.2 de WordPress était une mise à jour de sécurité, sauf que dans les notes jointes, ne sont mentionnées que trois vulnérabilités modérées, dont l’une ne concerne même pas le code interne de la plate-forme. Cependant, mercredi, soit une semaine après, l’équipe de sécurité de WordPress a révélé qu’une quatrième vulnérabilité, beaucoup plus grave que les autres, avait également été corrigée dans la version 4.7.2.

Cette vulnérabilité a été découverte par les chercheurs de la firme de sécurité Sucuri et signalée en privé à l’équipe de WordPress le 20 janvier. Localisée dans l’API REST de la plate-forme, elle permet à des attaquants non authentifiés de modifier le contenu d’une publication ou d’une page d’un site WordPress. « Nous pensons que la transparence est dans l’intérêt du public », a déclaré mercredi dans un blog le développeur de WordPress, Aaron Campbell. « Nous faisons toujours en sorte de communiquer sur les questions de sécurité. Mais cette fois, nous avons volontairement retardé la divulgation de la vulnérabilité d’une semaine pour ne pas exposer la sécurité de millions de sites WordPress supplémentaires ».

Une mise à jour vraiment urgente

Selon Aaron Campbell, après avoir pris connaissance de la faille, les développeurs de WordPress ont contacté des entreprises de sécurité qui maintiennent des pare-feux d’applications Web populaires (WAF) afin de leur demander de déployer des règles de protection contre d’éventuels exploits. Ensuite, ils ont pris contact avec de gros hébergeurs WordPress pour leur expliquer comment implémenter des protections pour leurs clients avant la disponibilité d’un correctif officiel.

La vulnérabilité affecte uniquement les versions 4.7 et 4.7.1 de WordPress, où l’API REST est activée par défaut. Les anciennes versions ne sont pas affectées, même si elles comportent le plug-in REST API. « Nous aimerions également remercier les WAF et les hébergeurs qui ont travaillé en étroite collaboration avec nous pour ajouter des protections supplémentaires et qui ont surveillé leurs systèmes pour empêcher toute tentative d’utiliser cet exploit sauvagement », a déclaré le développeur. « À ce jour, à notre connaissance, il n’y a eu aucune tentative pour exploiter cette vulnérabilité ».

C’est une bonne nouvelle en soi, mais cela ne signifie pas pour autant que les attaquants ne commenceront pas à exploiter la vulnérabilité dans la mesure où l’information est désormais connue. WordPress est la plate-forme de construction de sites web la plus populaire et elle représente une cible très attractive pour les pirates. Les webmasters doivent faire en sorte de mettre à jour dès que possible leurs sites WordPress en version 4.7.2, s’ils ne l’ont pas déjà fait.

 

Article de : Lucian Constantin / IDG News Service (adapté par Jean Elyan) | lemondeinformatique.fr

A propos de l'auteur

Eric Schekler
Passionné par les arts graphiques et le web en général, en 2001 j'ai décidé de créer l'agence de communication ESR (Eric Schekler Réalisations). Ma motivation était de fonder un collectif de savoir-faire en s’appuyant sur une équipe jeune et créative à l’esprit novateur. La technologie et l’innovation sont les agents fondamentaux de notre agence, préoccupés de donner toujours le meilleur service et la meilleure qualité à nos clients, nous avons investi dans toutes les ressources à notre portée pour être leadeur dans notre domaine.

Laisser un commentaire