Sur cette page: [cacher]
Avez-vous mis à jour votre WordPress vers la version 5.4.2? Si vous n'avez pas, envisager de le faire dès que possible, comme la mise à jour contient 23 corrections et améliorations, et spécifiquement 6 correctifs de sécurité, 3 dont adresse XXS, ou des vulnérabilités de script intersite.
Correctifs de sécurité dans la version WordPress 5.4.2
La première vulnérabilité XSS corrigée dans la dernière version de WordPress aurait pu permettre aux utilisateurs authentifiés avec de faibles privilèges d'ajouter du JavaScript aux publications dans l'éditeur de blocs.
Cette vulnérabilité pourrait permettre à un attaquant d'injecter JavaScript dans une publication en manipulant les attributs des iFrames intégrées. Utilisateurs avec la capacité edit_posts, ou utilisateurs avec le rôle Contributeur ou supérieur dans la plupart des configurations, pourrait être en mesure de tirer parti du problème, Les chercheurs de Wordfence disent.
La deuxième faille XSS pourrait permettre aux utilisateurs authentifiés avec des autorisations de téléchargement (Capacité upload_files) ajouter du JavaScript aux fichiers multimédias. En d'autres termes, les attaquants pourraient être en mesure d'injecter du code JavaScript dans le champ "Description" d'un fichier multimédia téléchargé. Cela inclut les utilisateurs avec le rôle Auteur ou supérieur.
Aussi, Lis 130M attaques tentent de voler les informations d'identification de la base de données à partir de 1,3 millions de sites WordPress
Le troisième bogue XSS authentifié pourrait permettre aux attaquants d'injecter du JavaScript dans la feuille de style d'un thème WordPress cassé. Le code serait alors exécuté si un autre utilisateur ouvrait la page Apparence -> Thèmes. Cette vulnérabilité pourrait être exploitable par les utilisateurs disposant des capacités install_themes ou edit_themes, disponible pour les administrateurs dans la plupart des configurations, Wordfence met en garde.
Quels autres bugs de sécurité ont été corrigés dans la version WordPress 5.4.2?
– Un problème de redirection ouverte dans wp_validate_redirect();
– Un problème où l'option set-screen-option peut être utilisée à mauvais escient par des plugins conduisant à une élévation de privilèges;
– Un problème où les commentaires des publications et des pages protégées par mot de passe pouvaient s'afficher sous certaines conditions.
La bonne nouvelle est que la plupart de ces problèmes ne peuvent être exploités que dans des, conditions limitées ou par des utilisateurs de confiance. Toutefois, la mise à jour vers la dernière version est fortement recommandée. Notez que puisqu'il s'agit d'une version mineure de WordPress, la plupart des sites Web seront automatiquement mis à jour vers la version 5.4.2.