La puce neuromorphique TrueNorth d'IBM, qui affiche des capacités d'apprentissage deep-learning, est plus rapide et plus économe en énergie que les GPU et CPU actuelles.

L'Image du jour

La puce neuromorphique TrueNorth d'IBM, qui affiche des capacités d'apprentissage deep-learning, est plus rapide et plus économe en énergie que les GP...

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

WordPress corrige en urgence une 2e faille critique

Le script malveillant s’exécute lorsque quelqu'un regarde un commentaire sur un site géré par WordPress. (crédit : D.R.)

Le script malveillant s’exécute lorsque quelqu'un regarde un commentaire sur un site géré par WordPress. (crédit : D.R.)

C'est la deuxième fois en une semaine que WordPress patche une vulnérabilité affectant sa plate-forme de publication de commentaires.

Hier lundi, WordPress a publié en urgence un second patch pour combler une vulnérabilité critique dans sa plate-forme de publication web et, ce, moins d'une semaine après la correction d'un problème similaire. Les administrateurs sont donc invités à passer à la version 4.2.1 de WordPress. Certains sites qui sont compatibles avec ce CMS (système de gestion de contenu) et utilisent un plugin appelé Background Update Tester seront automatiquement mis à jour.

WordPress est l'une des plateformes de publication web les plus utilisées dans le monde. Selon les propres estimations de la société, il anime 23% des sites sur l'Internet, avec de grands noms tels que Time ou CNN.

Une première faille mal corrigée ?  

La dernière faille a été trouvée par Jouko Pynnönen travaillant pour Klikki Oy, une société finlandaise. Le chercheur a trouvé que des pirates pouvaient exploiter cette vulnérabilité pour injecter du code malveillant - une simple ligne de code JavaScript - dans des commentaires. Le script s’exécutant lorsque quelqu'un regarde le commentaire, selon un communiqué. Cette technique baptisée cross-site scripting (scriptage inter-sites) est une des plus dangereuses sur le web, car elle permet d’exécuter n’importe quel code voyou.

Si un administrateur WordPress est connecté lorsque le commentaire malveillant est parcouru, l'attaquant peut alors exécuter un code arbitraire sur le serveur via les plug-ins et les éditeurs de thème. Il est alors également possible de changer le mot de passe de l'administrateur, de créer de nouveaux comptes d'administrateurs ou de manipuler le contenu sur un site. Cette vulnérabilité ne peut toutefois pas causer de dommages lorsqu’un lecteur ordinaire regarde un commentaire.

Politique de l'autruche chez WordPress 

La société Klikki Oy indique que WordPress a cessé de communiquer avec elle en novembre dernier après la découverte d’une première vulnérabilité dans le CMS. Au sujet de la dernière faille, la firme finnoise a déclaré qu'elle avait essayé de notifier WordPress du problème via l'autorité de sécurité informatique finlandais, CERT-FI, et HackerOne, qui offre un service de gestion des rapports et de récompenses pour la découverte de vulnérabilités.

Le 21 avril dernier, WordPress avait patché une vulnérabilité similaire à celle découverte par Jouko Pynnönen. Cedric Van Bockhaven avait en effet déjà constaté que WordPress était vulnérable à une attaque de scriptage inter-sites impliquant la lecture de commentaires.

Article de

COMMENTAIRES de l'ARTICLE1

le 28/04/2015 à 13h44 par newsoftpclab (Membre) :

On peut dire que wordpress est sous le feu des failles de sécurité critique en ce mois d'avril!

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
06 Juillet 1992 n°508
Publicité
Publicité