WordPress 5.7.2 corrige une vulnérabilité critique


Une vulnérabilité WordPress classée critique a été corrigée. Le correctif est appliqué à la version 5.7.2 de WordPress. Les sites ayant activé le téléchargement automatique devraient recevoir cette mise à jour sans aucune action supplémentaire de la part des éditeurs.

Les éditeurs sont encouragés à vérifier la version de WordPress qu’ils utilisent pour s’assurer qu’ils sont mis à jour vers la version 5.7.2.

Vulnérabilité d’injection d’objets

La vulnérabilité qui affecte WordPress est appelée une vulnérabilité d’injection d’objets. Plus précisément, il s’agit d’une injection d’objets dans la vulnérabilité PHPMailer.

Selon le site Web de sécurité Owasp.org, voici la définition d’une vulnérabilité d’injection d’objets PHP:

«PHP Object Injection est une vulnérabilité au niveau de l’application qui pourrait permettre à un attaquant de mener différents types d’attaques malveillantes, telles que l’injection de code, l’injection SQL, la traversée de chemin et le déni de service d’application, selon le contexte.

La vulnérabilité se produit lorsque l’entrée fournie par l’utilisateur n’est pas correctement nettoyée avant d’être transmise à la fonction PHP unserialize ().

Puisque PHP autorise la sérialisation d’objets, les attaquants pourraient transmettre des chaînes sérialisées ad hoc à un appel vulnérable unserialize (), ce qui entraînerait une injection arbitraire d’objets PHP dans la portée de l’application. »

Publicité

Continuer la lecture ci-dessous

Vulnérabilité WordPress classée comme critique

La vulnérabilité est classée près du niveau de danger le plus élevé. Sur une échelle de 1 à 10 utilisant le Common Vulnerability Scoring System (CVSS), cette vulnérabilité est notée 9,8.

Le site Web de sécurité Patchstack a publié la cote officielle de vulnérabilité du gouvernement des États-Unis.

Vulnérabilité WordPress évaluée critique

Capture d'écran de l'évaluation de la vulnérabilité de WordPressLa vulnérabilité WordPress est notée 9,8 sur une échelle de 1 à 10.

Selon le site de sécurité Patchstack qui a publié les détails de la vulnérabilité:

Publicité

Continuer la lecture ci-dessous

« Des détails

Injection d’objets dans la vulnérabilité PHPMailer découverte dans WordPress (un problème de sécurité affectant les versions de WordPress entre 3.7 et 5.7).

SOLUTION

Mettez à jour WordPress avec la dernière version disponible (au moins 5.7.2). Toutes les versions de WordPress depuis la version 3.7 ont également été mises à jour pour résoudre le problème de sécurité suivant. »

L’annonce officielle de WordPress pour WordPress 5.7.2 déclarait:

« Mises à jour de sécurité
Un problème de sécurité affecte les versions de WordPress entre 3.7 et 5.7.

Si vous n’avez pas encore mis à jour vers la version 5.7, toutes les versions de WordPress depuis la version 3.7 ont également été mises à jour pour résoudre les problèmes de sécurité suivants:

Injection d’objets dans PHPMailer »

Le site Web officiel de la base de données nationale sur les vulnérabilités du gouvernement des États-Unis qui annonce les vulnérabilités a noté que ce problème était survenu parce qu’un correctif pour une vulnérabilité précédente en avait créé une nouvelle.

La base de données nationale sur les vulnérabilités du gouvernement américain décrit la vulnérabilité comme suit:

«PHPMailer 6.1.8 à 6.4.0 permet l’injection d’objets via la désérialisation Phar via addAttachment avec un chemin UNC.

REMARQUE: cela est similaire à CVE-2018-19296, mais est survenu parce que 6.1.8 a corrigé un problème de fonctionnalité dans lequel les noms de chemin UNC étaient toujours considérés comme illisibles par PHPMailer, même dans des contextes sûrs.

En tant qu’effet secondaire involontaire, ce correctif a éliminé le code qui bloquait l’exploitation d’addAttachment. »

La base de données nationale sur les vulnérabilités évalue la vulnérabilité de WordPress comme critique

Vulnérabilité WordPress classée comme critique

Mettre à jour WordPress immédiatement

Les éditeurs qui utilisent WordPress devraient envisager de vérifier si leurs installations WordPress sont les plus récentes. La version la plus récente de WordPress est la version 5.7.2.

Publicité

Continuer la lecture ci-dessous

Étant donné que la cote de vulnérabilité est critique, cela peut signifier que les conséquences de la non-mise à jour de WordPress vers la version 5.7.2 peuvent rendre un site vulnérable à un événement de piratage.

Citation

Annonce WordPress de la version 5.7.2

Partager:

Partager sur facebook
Partager sur twitter
Partager sur telegram
Partager sur reddit
Partager sur linkedin
Partager sur pinterest

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles Similaires