WordPress corrige silencieusement une vulnérabilité dangereuse d'injection de code

Les développeurs du système de gestion de contenu WordPress largement utilisé ont publié une mise à jour la semaine dernière, mais ont intentionnellement retardé l'annonce du correctif d'une vulnérabilité grave..

WordPress version 4.7.2 a été publiée le 26 janvier en tant que mise à jour de sécurité, mais les notes de publication qui l'accompagnent ne mentionnaient que des correctifs pour trois vulnérabilités à risque modéré, dont l'une n'affectait même pas le code principal de la plate-forme.

Mercredi, une semaine plus tard, l'équipe de sécurité de WordPress a révélé qu'une quatrième vulnérabilité, beaucoup plus grave que les autres, avait également été corrigée dans la version 4.7.2.

La vulnérabilité a été découverte par des chercheurs de la société de sécurité Web Sucuri et a été signalée en privé à l'équipe WordPress le 20 janvier. Site WordPress.

"Nous pensons que la transparence est dans l'intérêt du public", a déclaré mercredi le développeur principal de WordPress, Aaron Campbell, dans un article de blog. "Nous pensons que les problèmes de sécurité doivent toujours être divulgués. Dans ce cas, nous avons intentionnellement retardé la divulgation de ce problème d'une semaine pour garantir la sécurité de millions de sites WordPress supplémentaires."

Selon Campbell, après avoir découvert la faille, les développeurs de WordPress ont contacté des sociétés de sécurité qui maintiennent des pare-feu d'applications Web (WAF) populaires afin de pouvoir déployer des règles de protection contre d'éventuels exploits. Ils ont ensuite contacté de grandes sociétés d'hébergement WordPress et les ont conseillé sur la façon de mettre en œuvre des protections pour leurs clients avant la publication d'un correctif officiel.

La vulnérabilité affecte uniquement WordPress 4.7 et 4.7.1, où l'API REST est activée par défaut. Les versions antérieures ne sont pas affectées, même si elles disposent du plug-in API REST.

"Nous aimerions également remercier les WAF et les hôtes qui ont travaillé en étroite collaboration avec nous pour ajouter des protections supplémentaires et surveillé leurs systèmes pour les tentatives d'utilisation de cet exploit dans la nature", a déclaré Campbell. "À ce jour, à notre connaissance, il n'y a eu aucune tentative d'exploiter cette vulnérabilité dans la nature."

Bien que ce soit une bonne nouvelle, cela ne signifie pas que les attaquants ne commenceront pas à exploiter cette vulnérabilité maintenant que les informations sont disponibles. WordPress est la plateforme de création de site Web la plus populaire, ce qui en fait une cible très attrayante pour les pirates.

Les webmasters doivent s'assurer qu'ils mettent à jour leurs sites WordPress vers la version 4.7.2 dès que possible s'ils ne l'ont pas encore fait.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.