Les administrateurs de sites web WordPress devraient se protéger contre les attaques de codes malveillants en installant la dernière version du système de gestion de contenu (CMS). Selon les développeurs, trois failles de sécurité ont été comblées.

La faille considérée comme la plus dangereuse (numéro CVE en attente) est classée avec le niveau de menace « .élevé« . Si des pirates disposent du droit de publier des messages sur des sites Web, ils pourraient les enrichir de leurs propres scripts afin d’ancrer du code malveillant sur une page (attaque Stored XXS). Les chercheurs en sécurité de Wordfence expliquent dans un article que lorsqu’un administrateur consulte un tel message dans l’aperçu, le code doit être exécuté.

Patchez maintenant !

Si une telle attaque se produit, les pirates pourraient prendre le contrôle total d’un site Web. Le bug se trouve dans le wp_kses-qui est censée supprimer les scripts malveillants des messages. Seules les versions 5.9.0 et 5.9.1 de WordPress sont concernées.

En raison de failles dans la bibliothèque JavaScript libre jQuery et Block Editor, les victimes pourraient exécuter leur propre code dans leur navigateur. Pour cela, les victimes doivent cliquer sur un lien préparé. Dans l’ensemble, les attaques sont toutefois relativement coûteuses. Les deux failles sont signalées par « moyen« .

Dans un billet de blog, les développeurs indiquent avoir corrigé les failles de WordPress 5.9.2 a été fermée. Les administrateurs lancent la mise à jour directement depuis le tableau de bord.