Deux fragilités de sécurité sont corrigées dans WordPress 4.5.2

Deux Fragilités De Sécurité Sont Corrigées Dans WordPress 4.5.2

 

L’équipe WordPress a sorti une version WordPress 4.5.2 dans laquelle deux fragilités de sécurité sont corrigées dans toutes les versions à partir de WordPress 4.5.1. La première fragilité est SOME (Same-Origin Method Execution) dans Plupload, une bibliothèque extérieure qui est utilisée sous WordPress pour télécharger les fichiers. La deuxième fragilité, c’est celle de XSS dans MediaElement.js, une bibliothèque extérieure utilisée pour les lecteurs media.

 

 

 

Same Origin Method Execution est une nouvelle attaque basée sur l’utilisation du paramètre JSONP de callback, qui permet de réaliser des fonctionnalités spontanées sur le site vulnérable. Dès que la victime suit le lien du malfaiteur, une nouvelle fenêtre ou un frame s’ouvre et le code vénéneux s’effectue. Le plus souvent la victime ne se rend même pas compte de ce qui s’est passé.   L’exécution des fonctionnalités concrètes de Same Origin Method Execution dépend du site attaqué. Pour se protéger de ces interventions il est possible d’utiliser les noms des fonctionnalités statiques de callback; mettre les callback dans la liste blanche sur votre serveur; enregistrer les callback.

Les mis à jour automatiques sont déjà sur les sites. Si vous ne voulez pas attendre vous pouvez mettre à jour votre WP manuellement dans votre panneau d’administration. En complément du release, l’équipe  WordPress a publié l’article https://wordpress.org/news/2016/05/wordpress-4-5-2/  dédié aux nombreuses fragilités trouvées dans ImageMagick, un script populaire de traitement des images, utilisé par plusieurs hébergeurs. L’article décrit des particularités des diverses fragilités et les solutions proposées pour régler ces problèmes.

Articles similaires

Ajouter Google Maps à un site WordPress

Avant de parler de plugins Google Maps, c’est important d’indiquer que Google Map offre un code d’intégration que vous pouvez modifier et coller sur vos pages et articles WordPress sans utiliser des plugins spécifiques.