Lancé début septembre, WordPress 4.0 « Benny » a donné davantage d’agilité au back-office à travers une refonte du gestionnaire de médias, l’intégration de solutions supplémentaires pour l’import de contenus externes et une expérience d’installation simplifiée pour les plugins.
Cette mise à jour a aussi apporté son lot de correctifs, résolvant notamment un défaut de sandbox qui pouvait permettre l’exécution de code tiers via les iframes audio/vidéo. Mais une faille critique était passée outre les mailles du filet : de type « Cross-Site Scripting » (XSS), elle permet d’injecter du code dans des pages Web pour déclencher des actions particulières, typiquement la redirection vers un site malveillant.
Les changements d’architecture réalisés avec WordPress 4.0 font que cette version n’est pas touchée. Ce n’est pas le cas pour les moutures antérieures du CMS. Bilan, il est urgent de réaliser la mise à niveau en version 4.0.1, disponible depuis le jeudi 20 novembre. Aucune mesure particulière à prendre sur les sites qui supportent l’update automatique. Pour les autres, le téléchargement s’effectue sur cette page.
Les versions 3.9.2, 3.8.4 et 3.7.4 sont elles aussi mises à jour, respectivement en 3.9.3, 3.8.5 et 3.7.5. Pour ceux qui utilisent une mouture encore plus ancienne, « il est grand temps de se moderniser », selon Automattic, l’éditeur américain qui a pris WordPress sous son aile.
WordPress 4.0.1 corrige d’autres failles moins importantes : deux de type XSS, une pouvant entraîner une attaque par déni de service distribuée (DDoS) lors de la vérification d’un mot de passe… et une autre de type « Cross-Site Request Forgery » (CSRF). Celle-ci permet de contourner les mécanismes d’authentification en faisant réaliser à la victime des actions à son insu – généralement des requêtes HTTP.
Sur la liste des nouveautés figurent aussi des protections additionnelles côté serveur et la capacité, pour WordPress, d’invalider les liens contenus dans les e-mails de réinitialisation de mot de passe si l’utilisateur s’en souvient entretemps, se connecte et change d’adresse mail. Reste une brèche un peu particulière : les développeurs n’entrent pas dans les détails, mais évoquent une collision « extrêmement improbables » de caractères spéciaux qui pourrait permettre de corrompre le compte d’un utilisateur… si celui-ci ne s’est pas connecté depuis 2008.
Crédit photo : Vladimir Koletic – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…