WordPress 4.2.1 - Une mise à jour de sécurité corrige une vulnérabilité XSS jour zéro - Mettre à jour maintenant

À peine 3 jours après la publication de WordPress 4.2, un chercheur en sécurité a découvert une vulnérabilité XSS jour zéro affectant WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 et 3.9.3. Cela permet à un attaquant d'injecter du JavaScript dans des commentaires et de pirater votre site. L'équipe WordPress a réagi rapidement et a résolu le problème de sécurité dans WordPress 4.2.1, et nous vous recommandons vivement de mettre à jour vos sites immédiatement.

Jouko Pynnönen, chercheur en sécurité à Klikki Oy, a déclaré que le problème était le suivant:

S'il est déclenché par un administrateur connecté, les paramètres par défaut permettent à l'attaquant de tirer parti de la vulnérabilité pour exécuter du code arbitraire sur le serveur via les éditeurs de plug-in et de thèmes..

L'attaquant pourrait également modifier le mot de passe de l'administrateur, créer de nouveaux comptes d'administrateur ou faire tout ce que l'administrateur actuellement connecté peut faire sur le système cible..

Cette vulnérabilité particulière est similaire à celle signalée par Cedric Van Bockhaven qui a été corrigée dans la mise à jour de sécurité de WordPress 4.1.2..

Malheureusement, ils n’ont pas utilisé les informations de sécurité appropriées et ont plutôt publié l’exploit publiquement sur leur site. Cela signifie que ceux qui n'améliorent pas leur site courront de sérieux risques.

Mettre à jour: Nous avons appris qu'ils avaient essayé de contacter l'équipe de sécurité de WordPress mais n'avaient pas réussi à obtenir une réponse rapide.

Si vous n'avez pas désactivé les mises à jour automatiques, votre site sera automatiquement mis à jour..

Encore une fois, nous vous conseillons vivement de mettre à jour votre site vers WordPress 4.2.1. Assurez-vous de sauvegarder votre site avant de mettre à jour.