WordPress 5.8.3 : une mise à jour de sécurité à installer d’urgence !
Depuis quelques jours, WordPress 5.8.3 est disponible et cette mise à jour permet de corriger 4 vulnérabilités au sein de ce CMS utilisé sur des millions de sites.
Parmi ces quatre vulnérabilités, il y en a trois considérées comme importante. Tout d'abord, nous retrouvons la vulnérabilité CVE-2022-21661 qui est une injection SQL via WP_Query et elle affecte toutes les versions de WordPress, sauf la nouvelle version 5.8.3. Cette vulnérabilité n'est pas exploitable directement via le coeur de WordPress mais en passant par certains plugins ou thèmes.
Ensuite, nous avons la vulnérabilité CVE-2022-21662 qui est une faille XSS pouvant permettre l'installation d'une porte dérobée sur le site ou d'en prendre le contrôle. Pour exploiter cette faille de sécurité qui affecte toutes les versions de WordPress sauf la 5.8.3, il faut disposer d'un compte ayant les autorisations de publier des articles sur le site. Par exemple, il faut disposer du rôle "Auteur" sur le site cible.
La troisième vulnérabilité, associée à la référence CVE-2022-21663, est probablement la moins grave puisqu'elle est très difficile à exploiter. Enfin, disons qu'il faut des prérequis qui peuvent surprendre : pour exploiter cette vulnérabilité, il faut des droits de super administrateur, et elle concerne uniquement les sites Multisite de WordPress (gestion de plusieurs sites depuis une même interface). Comme l'explique Wordfence sur son site, dans certains cas, relativement rares, même le super administrateur n'est pas autorisé à exécuter du code arbitraire donc c'est là que l'exploitation de cette faille peut avoir du sens.
Enfin, un peu dans le même esprit que la première vulnérabilité évoquée dans cet article, la vulnérabilité CVE-2022-21664 est une injection SQL via WP_Meta_Query. Elle affecte WordPress pour les versions comprises entre la 4.1 et la 5.8.2.
Voilà, vous en savez un peu plus sur cette mise à jour de sécurité WordPress, et si ce n'est pas déjà fait, je vous invite à l'installer sur votre site !