Sortie de la version 4.8.2 du WordPress corrigeant de multiples vulnérabilités

Une nouvelle version (4.8.2) du WordPress est sortie le 19 Septembre qui corrige les vulnérabilités suivantes :

  • La fonction « $ wpdb-> prepare () » dans WordPress permettait de créer des requêtes SQL non sécurisées et potentiellement vulnérables aux injections SQL (SQLi). Le cœur de WordPress n'était pas directement affecté par cette faille de sécurité.
  • Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans le module complémentaire « oEmbed discovery ».
  • Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans l'éditeur visuel de WordPress.
  • Une vulnérabilité de « Directory Traversal » a été identifiée dans le code de décompression de fichier.
  • Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans l'éditeur des extensions.
  • Une vulnérabilité de redirection ouverte a été identifiée dans l’interface de gestion des utilisateurs et l’écran de modification des termes.
  • Une vulnérabilité de « Directory Traversal » a été découverte dans le personnalisateur de WordPress.
  • Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans les noms des modèles.
  • Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans « Link Modal ».
Informations
+

Impact

Vol d’information (Cross-Site Scripting)

Accès illicite aux données

Existence d’un code d’exploitation de la vulnérabilité

Aucun exploit public connu ne cible spécifiquement ces vulnérabilités.

Composants & versions vulnérables

La version 4.8.1 et antérieures.

CVE

Non assigné


Recommandations
+

Correctif

La nouvelle version 4.8.2 a été publiée par WordPress le 19 Septembre 2017.

Solution de contournement provisoire

Si la mise à jour n’est pas possible dans l’immédiat, il est possible de réduire les risques d’exploitation des vulnérabilités par l’implémentation d’un pare-feu applicatif (WAF).