[News sécurité] Faille injection de contenu dans les sites WordPress 4.7.0/4.7.1

Le 1er février 2017 une faille de sécurité permettant de modifier le contenu d’une page WordPress a été découverte.

Comment fonctionne-t-elle ?

En exploitant une vulnérabilité de l’API REST un utilisateur non authentifié peut obtenir des droits supplémentaires et ainsi modifier le contenu de n’importe quelle page d’un site WordPress.

Comment vérifier si je suis impacté ?

L’API REST WordPress a été implémentée à la version 4.7.0

L’API permet de voir/éditer/supprimer/créer un article. Un bug permet à un visiteur de réaliser ces actions.

Cette API a été activée par défaut depuis sa mise en place, si vous êtes en version 4.7.0 ou 4.7.1 vous êtes impacté.

Comment la corriger ?

Un patch est sorti, vous pouvez mettre à jour votre WordPress en 4.7.2 pour corriger la faille.

Il est fortement recommandé d’activer les mises à jour automatique de votre WordPress.

Sources : Article sucuri.net

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Enter the characters shown in the image.