WordPress obtient un correctif pour une faille XSS critique

Les développeurs de la célèbre plateforme de blogs WordPress ont publié une mise à jour de sécurité critique pour corriger une vulnérabilité qui pourrait être exploitée pour prendre le contrôle de sites Web..

WordPress 4.2.3, publié jeudi, corrige une vulnérabilité de script intersite (XSS) qui pourrait permettre aux utilisateurs avec les rôles Contributeur ou Auteur de compromettre un site Web, a déclaré Gary Pendergast, membre de l'équipe WordPress, dans un article de blog.

Bien que ce ne soit pas aussi critique qu'une faille qui peut être exploitée sans authentification, cela pose toujours un risque élevé pour de nombreux sites Web, car la compromission d'un seul compte d'utilisateur non administrateur peut se transformer en une prise de contrôle complète du site Web..

La nouvelle mise à jour corrige également une faille de faible gravité qui permet aux utilisateurs disposant de l'autorisation d'abonné de créer des brouillons de publication via la fonction de brouillon rapide, ainsi que 20 autres bogues non liés à la sécurité.

Les administrateurs de sites Web sont invités à installer la nouvelle version dès que possible à partir de leurs tableaux de bord WordPress. Les sites Web configurés pour les mises à jour automatiques en arrière-plan ont déjà commencé à être corrigés.

Les sites Web WordPress sont une cible commune pour les attaquants, même ceux qui ne détiennent pas d'informations particulièrement précieuses dans leurs bases de données. Les pirates peuvent les utiliser à diverses fins dans leurs activités malveillantes, par exemple pour héberger des logiciels malveillants ou pour lancer des attaques par déni de service distribué (DDoS).

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.