Mise à jour de sécurité WordPress du 09 avril 2024

Mise à jour de sécurité WordPress du 09 avril 2024

WordPress diffuse une mise à jour de sécurité pour corrigée une vulnérabilité de cross-site scripting (XSS) affectant le type de bloc Avatar. Cette vulnérabilité permet à un attaquant de provoquer une injection de code indirecte à distance (XSS). Puisqu’il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Des rétroportages sont également disponibles pour d’autres versions majeures de WordPress, 6.0 et ultérieures.

WordPress 6.5.2 est une version à cycle court. La prochaine version majeure sera la version 6.6 et est actuellement prévue pour le 16 juillet 2024. Vous avez la possibilité de paramétrer la mise à jour automatique de versions. Cette vulnérabilité a été rapportée par John Blackbourn de l’équipe de sécurité de WordPress. Remerciements à Mat Rollings pour son aide dans la recherche.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


WordPress est un système de gestion de contenu gratuit (SGC ou content management system (CMS) en anglais) et open-source, ce qui signifie que tout le monde peut participer à son évolution en proposant des codes et des idées. Ce logiciel libre écrit en PHP, repose sur une base de données MySQL, et est distribué par l'entreprise américaine Automattic. Les fonctionnalités de WordPress lui permettent de gérer n'importe quel site web ou blog. Il est distribué selon les termes de la licence GNU GPL version 2. Le logiciel est aussi à l'origine du service WordPress.com. En 2021, le CMS WordPress est utilisé par près de la moitié des sites internet mondiaux (43%) et 22% du WooCommerce mondial. A ce titre il représente une cible pour les cyberattaques.

 

A propos de l'auteur

Retour en haut