16/12/2024

Actu CybersécuritéWeb

WordPress 6.4.2 vous protège de cette vulnérabilité facilitant l’exécution de code PHP !

Vous utilisez WordPress ? Vous devez passer à la version 6.4.2 dès que possible afin de vous protéger d'une faille de sécurité pouvant permettre l'exécution de code PHP sur un site vulnérable. Faisons le point sur cette menace.

Actuellement utilisé par plus de 800 millions de sites Web, le CMS WordPress est très populaire ! Alors, forcément, quand il est affecté par une faille de sécurité importante, il faut s'y intéresser de près.

D'ailleurs, sur la page du site WordPress où sont présentés les changements apportés dans cette version, voici ce que nous pouvons lire au sujet de cette faille de sécurité qui vient d'être patchée : "Une vulnérabilité d'exécution de code à distance qui n'est pas directement exploitable dans le noyau ; cependant, l'équipe de sécurité estime qu'il y a un potentiel de gravité élevé lorsqu'elle est combinée avec certains plugins, en particulier dans les installations multisites."

Pour qu'une attaque soit réalisable, cette vulnérabilité "PHP POP" (Property Oriented Programming) doit être exploitée conjointement à une autre vulnérabilité. Ceci créerait une chaine d'exploitation permettant à l'attaquant d'exécuter du code PHP arbitraire sur le serveur Web. La vulnérabilité présente dans WordPress n'est pas critique, mais ce qui l'a rend dangereuse, c'est le fait qu'elle permette une exécution de code au travers d'autres extensions ou thèmes.

Par ailleurs, la plateforme Patchstack précise qu'une chaine d'exploitation pour cette faille de sécurité a été publiée sur GitHub il y a plusieurs semaines, et qu'elle a ensuite été introduite à l'outil PHPGGC.

Comment se protéger ?

Vous connaissez la réponse : pour vous protéger, vous l'aurez compris, vous devez mettre à jour WordPress pour passer sur WordPress 6.4.2 !

Toutefois, il convient de préciser que si vous utilisez une version inférieure à WordPress 6.4, vous n'êtes pas affecté. En effet, cette vulnérabilité a été introduite dans le core de WordPress 6.4 au sein de la classe "WP_HTML_Token" permettant d'améliorer le parsing HTML dans l'éditeur de blocs.

Par ailleurs, cette nouvelle version corrige 7 bugs importants non liés à la sécurité de WordPress.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.