Wordpress corrige une vulnérabilité de cross-site scripting

Wordpress a publié une nouvelle version de son produit (4.9.2) corrigeant une vulnérabilité XSS et plusieurs bugs.

WordPress utilise un outil open-source indépendant pour lire des vidéos sur une page web, MediaElement.js. ME.js fournit un remplacement Flash pour les navigateurs qui ne supportent pas la balise <video> ou certains codecs vidéo, en utilisant le fichier Flash flashmediaelement.swf.

Une vulnérabilité XSS a été découverte dans les fichiers Flash de remplacement dans MediaElement. Parce que les fichiers Flash ne sont plus nécessaires dans la plupart des cas d'utilisation, ils ont été supprimés de WordPress.

MediaElement a publié une nouvelle version qui contient un correctif pour la vulnérabilité, et un plugin WordPress contenant les fichiers corrigés est disponible dans le dépôt dédié. Par ailleurs, 21 autres bugs ont été corrigés dans WordPress 4.9.2.

Facebook utilisait un fichier similaire à flashmediaelement.swf pour intégrer des vidéos externes sur ses fils d'actualité. La même vulnérabilité était présente dans ce fichier et plusieurs preuves de concept exploitant cette dernière, qui conduirait au contournement de l'authentification Facebook, ont été créées.

Cette vulnérabilité est complexe car elle repose sur de multiples facteurs. Cependant, il est facile d'exploiter cette vulnérabilité car toutes les exigences sont généralement présentes par défaut sur un système. Ainsi, il est primordial de mettre à jour le produit Wordpress utilisé ou désactiver Flash si ce dernier n'est pas utilisé.