Vulnérabilité des sites web : WordPress corrige en urgence une 2e faille critique
C’est la deuxième fois en une semaine que WordPress, l’une des plateformes de publication web les plus utilisées dans le monde, corrige une vulnérabilité affectant notamment sa plate-forme de publication de commentaires.
WordPress a publié tout récemment « en urgence » un second patch pour combler une vulnérabilité critique dans sa plate-forme de publication web et ce, moins d’une semaine après la correction d’un problème similaire.
Les administrateurs sont donc invités à passer à la version 4.2.1 de WordPress. Certains sites qui sont compatibles avec ce CMS (système de gestion de contenu) et utilisent un plugin appelé Background Update Tester seront automatiquement mis à jour.
Selon les propres estimations de la société, il anime 23% des sites sur Internet, avec de grands noms tels que Time ou CNN.
En rappel, le 21 avril 2015, WordPress avait corrigé une vulnérabilité similaire à celle découverte par Jouko Pynnönen, chercheur travaillant dans une société finlandaise appelée « Klikki Oy ».
Cette vulnérabilité baptisée « cross-site scripting » (scriptage inter-sites) est l’une des plus dangereuses sur le web, car elle permet d’exécuter n’importe quel code.
Si un administrateur WordPress est connecté, lorsque le commentaire malveillant est parcouru, l’attaquant peut alors exécuter un code arbitraire sur le serveur via les plug-ins et les éditeurs de thème.
Il est alors également possible, selon le site « lemondeinformatique.fr », de changer le mot de passe de l’administrateur, de créer de nouveaux comptes d’administrateurs ou de manipuler du contenu sur un site. Cette vulnérabilité ne peut toutefois causer de dommages lorsqu’un lecteur ordinaire regarde un commentaire.
La firme finnoise a déclaré qu’elle avait essayé de notifier WordPress du problème via l’autorité de sécurité informatique finlandaise, CERT-FI et HackerOne, qui offre un service de gestion des rapports et de récompenses pour la découverte de vulnérabilités.
Synthèse de Noufou KINDO
Burkina24
via L'Actualité du Burkina 24h/24 http://ift.tt/1Aft2f0