7 failles de sécurité de WordPress 5.0 à corriger immédiatement

Posted by

A peine 5.0 a-t-il été déployé que WordPress a publié 2 mises à jour pour corriger plusieurs vulnérabilités déjà présentes.

7 failles de sécurité dans WordPress 5.0 à corriger immédiatement

Ce qui n’est pas étonnant si on tient compte des avertissements de nombreux développeurs qui estimaient que cette nouvelle version n’avait pas été suffisamment testée et que de nombreux bugs y figuraient encore.

En fait, ces vulnérabilités récemment découvertes existent depuis la version 3.7.

Si vous avez WordPress 5.0, mettez dès maintenant à niveau vers la version 5.0.1. Si vous voulez rester avec WordPress 4, mettez à jour vers la version 4.9.9.

Dès l’introduction de son post d’annonce, l’organisation WordPress.org déclare :

WordPress 5.0.1 est maintenant disponibledepuis WordPress 3.7.

Nous vous encourageons vivement à mettre à jour vos sites immédiatement.

Les vulnérabilités de WordPress

  1. Suppression de fichier authentifié :
    • Les auteurs pourraient modifier les méta-données pour supprimer des fichiers pour lesquels ils n’avaient aucune autorisation.
  2. Type Bypass de post authentifié :
    • Les auteurs pourraient créer des publications de type posts non autorisés avec des entrées spécialement conçues.
  3. Injection d\’objet PHP via Meta Data :
  4. Cross-Site Scripting authentifiés (XSS) :
    • Les contributeurs pourraient modifier les nouveaux commentaires des utilisateurs disposant de privilèges supérieurs, ce qui pourrait conduire à une vulnérabilité de type Cross-Site Scripting.
  5. Cross-Site Scripting (XSS) qui pourrait affecter les plugins :
    • script inter-sites) dans certaines circonstances.

  6. L’écran d’activation de l’utilisateur est récupéré par les moteurs de recherche :
  7. Téléchargement des fichiers vers XSS sur des serveurs Web Apache :
    • Les auteurs sur les sites WordPress hébergés sur Apache pourraient télécharger des fichiers spécialement conçus qui contournent la vérification MIME, conduisant à une vulnérabilité de de type Cross-Site Scripting.

Les versions de WordPress touchés

Ces 7 failles de sécurités affectent les versions 3, 4 et 5 de WordPress.

Tous les utilisateurs de WordPress devront immédiatement mettre à niveau leurs versions actuelles vers les versions WordPress 4.9.9 et WordPress 5.0.1.

Les versions de WordPress 5.0 et antérieures sont affectées par les bugs suivants, qui sont corrigés dans la version 5.0.1.

Les versions mises à jour de WordPress 4.9 et les versions antérieures sont également disponibles, pour les utilisateurs .

Problèmes de compatibilité descendante

Une faille de compatibilité descendante est un problème qui fait que certaines fonctions ne fonctionnent plus.

Par exemple, l’élément

D’après Searchenginejournal, et selon un contributeur de WordPress, il était nécessaire de désactiver le téléchargement de fichiers CSV :

installer la mise à jour immédiatement

Devriez-vous mettre à niveau ?

Oui, vous devriez mettre à niveau immédiatement. Beaucoup de sites WordPress sont mis à niveau automatiquement.

Sachez que les vulnérabilités doivent être prises très au sérieux. Rester avec une version obsolète de WordPress pourrait peut-être vous exposer à un acte de piratage.