WordPress a annoncé une version de sécurité et de maintenance, la version 5.8.1. Il est important de mettre à jour WordPress, en particulier les versions 5.4 à 5.8 afin de résoudre trois problèmes de sécurité.
Version de sécurité et de maintenance de WordPress 5.8.1
Il n’est pas rare que WordPress ou tout autre logiciel publie une mise à jour de correction de bogues à la suite d’une mise à jour de version majeure afin de résoudre des problèmes imprévus et d’introduire des améliorations qui n’ont pas été apportées à temps pour la version majeure.
Dans WordPress, ces mises à jour sont appelées une version de maintenance.
Cette mise à jour comprend également une mise à jour de sécurité, ce qui est quelque peu rare pour le noyau WordPress. Cela rend cette mise à jour plus importante que la version de maintenance typique.
Publicité
Continuer la lecture ci-dessous
Problèmes de sécurité WordPress résolus
WordPress 5.8.1 corrige trois vulnérabilités :
- Une vulnérabilité d’exposition des données au sein de l’API REST
- Vulnérabilité Cross-Site Scripting (XSS) dans l’éditeur de blocs Gutenberg
- Plusieurs vulnérabilités critiques à haute gravité dans la bibliothèque JavaScript Lodash
Les trois vulnérabilités ci-dessus sont si préoccupantes que l’annonce de WordPress recommande de mettre immédiatement à jour les installations de WordPress.
Vulnérabilité de l’API REST
L’API WordPress REST est une interface qui permet aux plugins et aux thèmes d’interagir avec le noyau WordPress.
L’API REST a été une source de vulnérabilités de sécurité, y compris plus récemment avec le Vulnérabilité de la bibliothèque de modèles Gutenberg et du framework Redux qui a touché plus d’un million de sites Web.
Publicité
Continuer la lecture ci-dessous
Cette vulnérabilité est décrite comme une vulnérabilité d’exposition de données, ce qui signifie que des informations sensibles pourraient être révélées. Il n’y a pas d’autres détails pour le moment concernant le type d’informations, mais cela pourrait être aussi grave que les mots de passe des données qui pourraient être utilisés pour lancer une attaque via une autre vulnérabilité.
Vulnérabilité WordPress Gutenberg XSS
Les vulnérabilités de type Cross-Site Scripting (XSS) se produisent relativement fréquemment. Ils peuvent se produire chaque fois qu’il y a une entrée d’utilisateur comme un formulaire de contact ou de courrier électronique, tout type d’entrée qui n’est pas « nettoyé » pour empêcher le téléchargement de scripts qui peuvent déclencher un comportement indésirable dans l’installation de WordPress.
L’Open Web Application Security Project (OWASP) décrit le potentiel dommages causés par les vulnérabilités XSS:
« Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance. Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé et exécutera le script.
Parce qu’il pense que le script provient d’une source fiable, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservés par le navigateur et utilisés avec ce site. Ces scripts peuvent même réécrire le contenu de la page HTML.
Cette vulnérabilité spécifique affecte l’éditeur de blocs Gutenberg.
Publicité
Continuer la lecture ci-dessous
Vulnérabilités de la bibliothèque JavaScript de WordPress Lodash
Ces vulnérabilités sont peut-être les plus préoccupantes. La bibliothèque JavaScript Lodash est un ensemble de scripts utilisés par les développeurs qui présentent de multiples vulnérabilités.
La version la plus récente et la plus sûre est Lodash 4.17.21.
Le site Web de la liste CVE sponsorisée par la sécurité intérieure des États-Unis détaille la vulnérabilité:
“Les versions de Lodash antérieures à 4.17.21 sont vulnérables à l’injection de commandes via la fonction de modèle.”
Il semble y avoir de nombreuses autres vulnérabilités affectant également la bibliothèque Lodash dans la branche 4.1.7.
WordPress demande une mise à jour immédiate
Ces vulnérabilités de sécurité ajoutent un sentiment d’urgence à cette mise à jour. Tous les éditeurs sont recommandés par WordPress pour mettre à jour.
Publicité
Continuer la lecture ci-dessous
L’annonce officielle de WordPress recommande de mettre à jour :
« Parce qu’il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Toutes les versions depuis WordPress 5.4 ont également été mises à jour.
Citations
Version de sécurité et de maintenance de WordPress 5.8.1
Description de la vulnérabilité CVE Lodash CVE-2021-23337
— to www.searchenginejournal.com