Les développeurs de WordPress ont publié une mise à jour axée sur la sécurité qui corrige quatre failles de sécurité importantes dans le logiciel de gestion de contenu.
Plus précisement WordPress 5.8.3 corrige les vulnérabilités de script intersite (XSS) et d’injection SQL qui affectent les versions de WordPress entre 3.7 et 5.8.
Tout d’abord, il existe un correctif pour un XSS stocké via une vulnérabilité post-slugs qui a été découverte par Karim El Ouerghemmi et Simon Scannell de SonarSource.
El Ouerghemmi a raconté La gorgée quotidienne: « Nous avons découvert et signalé une vulnérabilité XSS stockée dans WordPress qui pourrait permettre à un attaquant authentifié d’injecter une charge utile JavaScript dans les post-slugs.
« Cette charge utile infecterait alors le tableau de bord d’administration et pourrait finalement être utilisée pour détourner des comptes d’administrateur et compromettre l’installation. »
El Ouerghemmi a poursuivi : « Nous avons signalé la vulnérabilité il y a plus de trois ans, et nous sommes heureux de voir qu’elle est enfin corrigée. »
SonarSource prévoit de publier les détails techniques de cette vulnérabilité dans un article de blog mardi prochain (11 janvier) ainsi que des détails sur la façon dont cela aurait pu être exploité sans aucun privilège d’utilisateur lorsqu’une ancienne version du plugin largement utilisé est installée.
Simon Scannell, également de SonarSource, a signalé séparément un problème avec « l’injection d’objets dans certaines installations multisites » qui est également corrigé avec la version WordPress 5.8.3.
La même mise à jour corrige une vulnérabilité d’injection SQL dans WP_Query découvert par ngocnb et khuyenn de GiaoHangTietKiem JSC et rapportés via le programme Zero Day Imitative (ZDI) de Trend Micro.
La gorgée quotidienne contacté le ZDI pour commentaires. Aucun mot pour le moment, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.
WordPress 5.8.3 est une version provisoire du CMS axée sur les correctifs de sécurité qui omet toute nouvelle fonctionnalité ou fonctionnalité.
La première version principale majeure de l’année, WordPress 5.9devrait être lancé le 25 janvier.