WordPress mise à jour 4.72 vraiment urgente

WordPress mise à jour 4.72 vraiment urgente
Want create site? Find Free WordPress Themes and plugins.

Une vulnérabilité particulièrement dangereuse, patchée depuis peu, pourrait permettre à des utilisateurs non authentifiés de modifier n’importe quel article ou n’importe quelle page d’un site WordPress.

WordPress corrige discrètement une faille vraiment critique

La semaine dernière, les développeurs du très populaire système de gestion de contenu (CMS) WordPress ont publié une mise à jour sans préciser que celle-ci corrigeait une très sérieuse vulnérabilité. Lors de sa livraison le 26 janvier, ces derniers ont bien précisé que la version 4.7.2 de WordPress était une mise à jour de sécurité, sauf que dans les notes jointes, ne sont mentionnées que trois vulnérabilités modérées, dont l’une ne concerne même pas le code interne de la plate-forme. Cependant, mercredi, soit une semaine après, l’équipe de sécurité de WordPress a révélé qu’une quatrième vulnérabilité, beaucoup plus grave que les autres, avait également été corrigée dans la version 4.7.2.

Cette vulnérabilité a été découverte par les chercheurs de la firme de sécurité Sucuri et signalée en privé à l’équipe de WordPress le 20 janvier. Localisée dans l’API REST de la plate-forme, elle permet à des attaquants non authentifiés de modifier le contenu d’une publication ou d’une page d’un site WordPress. « Nous pensons que la transparence est dans l’intérêt du public », a déclaré mercredi dans un blog le développeur de WordPress, Aaron Campbell. « Nous faisons toujours en sorte de communiquer sur les questions de sécurité. Mais cette fois, nous avons volontairement retardé la divulgation de la vulnérabilité d’une semaine pour ne pas exposer la sécurité de millions de sites WordPress supplémentaires ».

Une mise à jour vraiment urgente

Selon Aaron Campbell, après avoir pris connaissance de la faille, les développeurs de WordPress ont contacté des entreprises de sécurité qui maintiennent des pare-feux d’applications Web populaires (WAF) afin de leur demander de déployer des règles de protection contre d’éventuels exploits. Ensuite, ils ont pris contact avec de gros hébergeurs WordPress pour leur expliquer comment implémenter des protections pour leurs clients avant la disponibilité d’un correctif officiel.

La vulnérabilité affecte uniquement les versions 4.7 et 4.7.1 de WordPress, où l’API REST est activée par défaut. Les anciennes versions ne sont pas affectées, même si elles comportent le plug-in REST API. « Nous aimerions également remercier les WAF et les hébergeurs qui ont travaillé en étroite collaboration avec nous pour ajouter des protections supplémentaires et qui ont surveillé leurs systèmes pour empêcher toute tentative d’utiliser cet exploit sauvagement », a déclaré le développeur. « À ce jour, à notre connaissance, il n’y a eu aucune tentative pour exploiter cette vulnérabilité ».

C’est une bonne nouvelle en soi, mais cela ne signifie pas pour autant que les attaquants ne commenceront pas à exploiter la vulnérabilité dans la mesure où l’information est désormais connue. WordPress est la plate-forme de construction de sites web la plus populaire et elle représente une cible très attractive pour les pirates. Les webmasters doivent faire en sorte de mettre à jour dès que possible leurs sites WordPress en version 4.7.2, s’ils ne l’ont pas déjà fait.

 

Article de : Lucian Constantin / IDG News Service (adapté par Jean Elyan) | lemondeinformatique.fr

Did you find apk for android? You can find new Free Android Games and apps.

Laisser un commentaire

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer