WordPress corrige la chaîne POP exposant les sites Web aux attaques RCE.

WordPress a publié la version 6.4.2 qui corrige une vulnérabilité d’exécution de code à distance (RCE) qui pourrait être liée à une autre faille pour permettre aux attaquants d’exécuter du code PHP arbitraire sur le site Web cible. WordPress est un système de gestion de contenu (CMS) open source très populaire utilisé pour créer et gérer des sites Web. Il est actuellement utilisé par plus de 800 millions de sites, soit environ 45 % de tous les sites Internet.

Selon les chercheurs de l’équipe sécurité, un attaquant exploitant une vulnérabilité d’injection d’objet pourrait prendre le contrôle de ces propriétés pour exécuter du code arbitraire. Même si la vulnérabilité est potentiellement critique et exploitable dans certaines circonstances, les chercheurs recommandent aux administrateurs de mettre à jour vers la dernière version de WordPress.

La mise à jour 6.4.2 inclut non seulement un correctif pour cette vulnérabilité, mais aussi sept autres corrections de bugs, renforçant ainsi la stabilité et la sécurité de la plateforme. WordPress recommande à tous ses utilisateurs de procéder à cette mise à jour sans délai. La mise à jour peut être effectuée directement via WordPress.org ou à travers le tableau de bord des utilisateurs.

Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


PHP: Hypertext Preprocessor, plus connu sous son sigle PHP, est un langage de programmation libre, principalement utilisé pour produire des pages Web dynamiques via un serveur HTTP, mais pouvant également fonctionner comme n'importe quel langage interprété de façon locale. PHP est un langage impératif orienté objet. 

WordPress est un système de gestion de contenu gratuit (SGC ou content management system (CMS) en anglais) et open-source, ce qui signifie que tout le monde peut participer à son évolution en proposant des codes et des idées. Ce logiciel libre écrit en PHP, repose sur une base de données MySQL, et est distribué par l'entreprise américaine Automattic. Les fonctionnalités de WordPress lui permettent de gérer n'importe quel site web ou blog. Il est distribué selon les termes de la licence GNU GPL version 2. Le logiciel est aussi à l'origine du service WordPress.com. En 2021, le CMS WordPress est utilisé par près de la moitié des sites internet mondiaux (43%) et 22% du WooCommerce mondial. A ce titre il représente une cible pour les cyberattaques.