Pour gérer vos consentements :
Categories: Cloud

WordPress 4.0.1 : rien que pour vos failles

Lancé début septembre, WordPress 4.0 « Benny » a donné davantage d’agilité au back-office à travers une refonte du gestionnaire de médias, l’intégration de solutions supplémentaires pour l’import de contenus externes et une expérience d’installation simplifiée pour les plugins.

Cette mise à jour a aussi apporté son lot de correctifs, résolvant notamment un défaut de sandbox qui pouvait permettre l’exécution de code tiers via les iframes audio/vidéo. Mais une faille critique était passée outre les mailles du filet : de type « Cross-Site Scripting » (XSS), elle permet d’injecter du code dans des pages Web pour déclencher des actions particulières, typiquement la redirection vers un site malveillant.

Les changements d’architecture réalisés avec WordPress 4.0 font que cette version n’est pas touchée. Ce n’est pas le cas pour les moutures antérieures du CMS. Bilan, il est urgent de réaliser la mise à niveau en version 4.0.1, disponible depuis le jeudi 20 novembre. Aucune mesure particulière à prendre sur les sites qui supportent l’update automatique. Pour les autres, le téléchargement s’effectue sur cette page.

Les versions 3.9.2, 3.8.4 et 3.7.4 sont elles aussi mises à jour, respectivement en 3.9.3, 3.8.5 et 3.7.5. Pour ceux qui utilisent une mouture encore plus ancienne, « il est grand temps de se moderniser », selon Automattic, l’éditeur américain qui a pris WordPress sous son aile.

WordPress 4.0.1 corrige d’autres failles moins importantes : deux de type XSS, une pouvant entraîner une attaque par déni de service distribuée (DDoS) lors de la vérification d’un mot de passe… et une autre de type « Cross-Site Request Forgery » (CSRF). Celle-ci permet de contourner les mécanismes d’authentification en faisant réaliser à la victime des actions à son insu – généralement des requêtes HTTP.

Sur la liste des nouveautés figurent aussi des protections additionnelles côté serveur et la capacité, pour WordPress, d’invalider les liens contenus dans les e-mails de réinitialisation de mot de passe si l’utilisateur s’en souvient entretemps, se connecte et change d’adresse mail. Reste une brèche un peu particulière : les développeurs n’entrent pas dans les détails, mais évoquent une collision « extrêmement improbables » de caractères spéciaux qui pourrait permettre de corrompre le compte d’un utilisateur… si celui-ci ne s’est pas connecté depuis 2008.

Crédit photo : Vladimir Koletic – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago