Mise à jour WordPress 4.2.1 - Ce matin, il a été fait état d’une (autre) vulnérabilité XSS dans WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Elle permet à un attaquant de compromettre un site via ses commentaires. L’équipe de sécurité a rapidement corrigé la vulnérabilité et libéré une version 4.2.1 quelques heures après avoir été avisé.

Déclaration officielle de WordPress sur la question de sécurité :

L’équipe WordPress a été mise au courant d’un problème XSS, il y a quelques heures et nous publierons une mise à jour sous peu. C’est une question fondamentale, mais le nombre de sites vulnérables est beaucoup plus petit que vous pouvez le penser parce que la grande majorité des sites WordPress utilisent Akismet, qui bloque cette attaque. Lorsque le correctif sera prêt et testé dans les prochaines heures, les utilisateurs de WordPress recevront une mise à jour automatique et devraient être en sécurité et protégés, même s’ils n’utilisent pas Akismet.

La faille a été découverte par Jouko Pynnönen. L’attaque fonctionne en intégrant du code malveillant dans les commentaires de n’importe quel article WordPress. Un attaquant non authentifié peut injecter un code JavaScript dans les commentaires WordPress. Le script est déclenché lorsque le commentaire est consulté. S’il est déclenché par un administrateur connecté, sous les paramètres par défaut l’attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire sur le serveur via un plugin ou l’éditeur de thèmes.

La mise à jour automatique est en cours de déploiement sur les sites où les mises à jour n’ont pas été désactivées. Si vous n’êtes pas sûr de savoir si votre site peut effectuer des mises à jour automatiques de fond, vous pouvez utiliser le plugin Background Update Tester. C’est un plugin qui vérifie si votre site est en mesure d’appliquer les mises à jour en arrière-plan.

Akismet est actif sur plus d’un million de sites Web, ce qui limite grandement le nombre d’utilisateurs touchés qui ne sont pas protégés.

WordPress 4.2.1 est une version de sécurité critique pour une vulnérabilité largement médiatisée que vous ne voulez pas ignorer. Les utilisateurs sont invités à mettre à jour immédiatement leur version de WordPress. La mise à jour de fond a peut-être déjà frappé votre site. Sinon, vous pouvez mettre à jour manuellement votre site en accédant au Tableau de bord → Mises à jour.