WordPress se serait-il rangé du côté des pirates ? Un utilisateur pris à son insu vient de découvrir une faille « zero-day » dans l’une des composantes de nombreux thèmes utilisés par plusieurs dizaines de millions de blogs et de sites conçus à partir de ce CMS open source.
Il y a quelques semaines, WordPress.org passait le cap des 50 millions de sites gérés par l’intermédiaire de sa plate-forme de CMS.
Selon le moteur de recherche Google, près de 40 millions d’installations WordPress utiliseraient un thème, commercial ou gratuit, qui intègrerait un script PHP dénommé timthumb.
C’est ce dernier qui pose un grave problème de sécurité. Censé redimensionner des images en local ou depuis des sites externes, il ne contrôle qu’aléatoirement les accès à certains dossiers privés.
En découle une mauvaise gestion des droits d’écriture, ouvrant la voie à l’exécution malicieuse de code tiers. Les pirates n’ont qu’à téléverser et lancer des scripts dans le répertoire de cache de timthumb.php.
Une solution suggérée par le site MarkmanUnder désactive la faille, mais il devient impossible de procéder au redimensionnement d’images depuis des domaines externes.
Il apparaît toutefois que la plupart des utilisateurs de WordPress n’utilisent cet outil qu’en local.
Pour qui souhaite conserver ces fonctionnalités, il convient de régler à « empty » (vide, c’est-à-dire aucune valeur) le paramètre $allowedsites.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
