WordPress : Une faille de sécurité menace 1 million de sites utilisant le plugin Jetpack
Plus d’un million de sites sont exposés à une faille de sécurité détectée dans Jetpack, un plugin WordPress très populaire. Cette faille permettrait d’incorporer un code JavaScript corrompu dans un commentaire d’article.
C’est le cabinet de sécurité « Sucuri » qui a constaté le problème et l’explique : « Au cours des audits de recherches régulières pour notre (WAF base Cloud) Sucuri Firewall, nous avons découvert une vulnérabilité XSS qui affecte le plugin WordPress Jetpack, actuellement installé sur plus d’un million de sites WordPress.
La faille peut être facilement exploitée via wp-comments et nous recommandons à chacun de mettre à jour dès que possible, si vous ne l’avez pas encore fait » Selon « L’informaticien.com« , l’équipe de Jetpack a déjà mis en ligne une nouvelle version 4.0.3 qui remédie au problème.
Des commentaires à risque…
La vulnérabilité XSS permet en fait d’introduire des codes malveillants JavaScript. Stockée dans la base de données des commentaires du site infecté, ils entrent en action dès que quelqu’un consulte un commentaire sur la page. Les clés sont en quelque sorte données au pirate. Ce dernier s’il le souhaite peut prendre en charge les comptes utilisateurs, s’approprier des cookies d’identifications, rediriger les visiteurs, ou injecter des spams entre autres.
Développé par Automattic, Jetpack fournit un ensemble d’outils (statistiques, sécurité,…) pour les sites WordPress auto hébergés. La faille ne concerne que les sites qui ont installé le module Jetpack Shortcode Embeds lequel permet d’insérer du contenu (vidéo, liens, tweets,…) dans les commentaires.
Synthèse de Noufou KINDO
Burkina 24
via L'Actualité du Burkina Faso 24h/24 http://ift.tt/1PgM1Cz