WordPress corrige rapidement la deuxième vulnérabilité critique

WordPress a corrigé une deuxième vulnérabilité critique dans sa plate-forme de publication Web lundi, moins d'une semaine après avoir corrigé un problème similaire.

Il est conseillé aux administrateurs de mettre à niveau vers WordPress version 4.2.1. Certains sites WordPress compatibles avec et utilisant un plugin appelé Background Update Tester se mettront à jour automatiquement.

WordPress est l'une des plateformes de publication Web les plus utilisées. Selon les propres estimations de l'entreprise, il gère 23% des sites sur Internet, y compris les principaux éditeurs tels que Time et CNN.

Le dernier défaut a été découvert par Jouko Pynnönen [cq] de Klikki Oy, une société de logiciels finlandais. Pynnönen a découvert que WordPress était vulnérable à une faille de script intersite si un attaquant insérait du JavaScript malveillant dans un champ de commentaires. Le script s'exécute lorsque quelqu'un consulte le commentaire, selon un avis.

Les failles de script intersites sont parmi les vulnérabilités Web les plus dangereuses et les plus courantes, permettant l'exécution de code non autorisé qui devrait être interdite.

Si un administrateur WordPress est connecté lorsque le commentaire malveillant est affiché, l'attaquant peut alors exécuter du code arbitraire sur le serveur via les éditeurs de plugins et de thèmes. Il est également possible ensuite de changer le mot de passe administrateur, de créer de nouveaux comptes administrateurs ou de manipuler du contenu sur un site. La vulnérabilité ne peut pas endommager un lecteur ordinaire qui consulte le commentaire.

Klikki Oy a allégué que WordPress avait cessé de communiquer avec lui en novembre dernier lorsque Klikki avait trouvé une vulnérabilité différente dans WordPress. Avec la dernière faille, Klikki a déclaré qu'il avait également tenté de notifier WordPress par le biais de l'autorité finlandaise de sécurité informatique, CERT-FI et HackerOne, qui propose un service de gestion des rapports de vulnérabilité et des récompenses..

Le 21 avril, WordPress a corrigé une vulnérabilité similaire à celle rencontrée par Pynnönen. Cedric Van Bockhaven [cq] a constaté que WordPress était vulnérable à une attaque de script intersite impliquant des commentaires en raison d'un comportement de base de données MySQL qu'il permettait.

Il a découvert qu'un code non autorisé pouvait être exécuté lorsqu'une personne survolait un script malveillant inséré dans un champ de commentaires. Le code de preuve de concept écrit par Van Bockhaven a montré comment un nouvel utilisateur pouvait être ajouté dans le panneau d'administration. La faille pourrait également être utilisée pour télécharger un plugin qui exécute du code côté serveur malveillant, écrit-il sur son blog.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.