WordPress : Publication d’une mise à jour critique (4.8.3) permettant de corriger une faille d’injection SQL sur la classe WPDB

Wordpress a publié le 31 Octobre 2017 une mise à jour de sécurité (Version 4.8.3). Cette mise à jour corrige une vulnérabilité critique permettant la réalisation d’une injection SQL sur les versions 4.8.2 et antérieures de Wordpress.

La vulnérabilité porte sur la fonction $wpdb->prepare() qui permet la préparation et l’exécution de requêtes SQL. Lorsque des entrées utilisateur sont passées comme arguments à la fonction « prepare » de la classe « wpdb » gérant les accès à la base de données, des requêtes préparées non sécurisées sont créées.  Un attaquant en mesure d’injecter des paramètres SQL malveillants dans cette fonction serait ainsi en mesure d’obtenir des informations critiques contenues dans la base de données et d’élever ses privilèges sur le portail.

Les propriétaires de sites WordPress sont vivement encouragés à installer cette nouvelle version et à mettre à jour tous les plugins relatifs à la classe WPDB pour éviter d’être impactés par cette vulnérabilité.