WordPress corrige une faille exploitée activement

Une nouvelle version de WordPress publiée jeudi corrige deux vulnérabilités critiques de script intersite (XSS) qui pourraient permettre aux attaquants de compromettre les sites Web.

L'un des défauts est situé dans le package de polices d'icônes Genericons qui est utilisé par plusieurs thèmes et plug-ins populaires, y compris le thème WordPress TwentyFifteen par défaut.

Des chercheurs de la société de sécurité Web Sucuri ont averti mercredi qu'ils avaient déjà vu des attaques ciblant cette vulnérabilité XSS.

Pour l'exploiter, les attaquants doivent inciter les utilisateurs à cliquer sur des liens spécialement conçus, mais une fois qu'ils le font, ils peuvent exploiter la faille pour voler des cookies d'authentification. Si la victime est l'administrateur d'un site Web, elle pourrait avoir un contrôle total sur ce site Web.

La vulnérabilité peut être atténuée en supprimant le fichier example.html qui fait partie du package Genericons ou en mettant à niveau vers la nouvelle version de WordPress 4.2.2.

"Tous les thèmes et plugins affectés hébergés sur WordPress.org (y compris le thème par défaut Twenty Fifteen) ont été mis à jour aujourd'hui par l'équipe de sécurité WordPress pour résoudre ce problème en supprimant ce fichier non essentiel", ont déclaré les développeurs de WordPress dans l'annonce de la sortie..

Une fois installé, WordPress 4.2.2 recherche dans le répertoire du site le fichier HTML vulnérable et en supprime toutes les instances.

De plus, la nouvelle version corrige une deuxième faille critique de script intersite qui, selon les développeurs WordPress, pourrait permettre aux utilisateurs anonymes de compromettre un site. Il renforce également les défenses pour un problème XSS potentiel dans l'éditeur visuel.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.