WordPress a annoncé une version de sécurité pour corriger plus d’une douzaine de vulnérabilités de gravité variable.
WordPress a publié une version de sécurité pour corriger plusieurs vulnérabilités découvertes dans les versions de WordPress antérieures à 6.0.3. WordPress a également mis à jour toutes les versions depuis WordPress 3.7.
Vulnérabilité Cross Site Scripting
La base de données nationale sur les vulnérabilités du gouvernement américain a publié des avertissements de multiples vulnérabilités affectant WordPress.
Il existe plusieurs types de vulnérabilités affectant WordPress, y compris un type connu sous le nom de Cross Site Scripting, souvent appelé XSS.
Une vulnérabilité de script inter-sites survient généralement lorsqu’une application Web comme WordPress ne vérifie pas correctement (ne nettoie pas) ce qui est entré dans un formulaire ou téléchargé via une entrée de téléchargement.
Un attaquant peut envoyer un script malveillant à un utilisateur qui visite le site, qui exécute ensuite le script malveillant, fournissant ainsi des informations sensibles ou des cookies contenant des informations d’identification de l’utilisateur à l’attaquant.
Une autre vulnérabilité découverte est appelée “Stored XSS”, qui est généralement considérée comme pire qu’une attaque XSS ordinaire.
Avec une attaque “Stored XSS”, le script malveillant est stocké sur le site Web lui-même et est exécuté lorsqu’un utilisateur ou un utilisateur connecté visite le site Web.
Un troisième type de vulnérabilité découverte est appelé Cross-Site Request Forgery (CSRF).
Le site Web de sécurité OWASP (Open Web Application Security Project) à but non lucratif décrit ce type de vulnérabilitécomme suit :
Cross-Site Request Forgery (CSRF) est une attaque qui oblige un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié.
Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter des actions de son choix.
Si la victime est un utilisateur normal, une attaque CSRF réussie peut forcer l’utilisateur à effectuer des demandes de changement d’état, telles que le transfert de fonds, la modification de son adresse e-mail, etc.
Si la victime est un compte administratif, CSRF peut compromettre l’ensemble de l’application Web.
Si vous avez des sites WordPress qui prennent en charge les mises à jour automatiques en arrière-plan, le processus de mise à jour commencera automatiquement.
Sinon, vous pouvez télécharger WordPress 6.0.3 à partir de WordPress.org, ou visiter votre tableau de bord WordPress, cliquez sur « Mises à jour », puis cliquez sur « Mettre à jour maintenant ».
Source : Searchenginejournal
