WordPress a annoncé une version de sécurité version 6.4.3 en réponse à deux vulnérabilités découvertes dans WordPress ainsi que 21 corrections de bogues.
Contournement du téléchargement de fichiers PHP
Le premier correctif concerne une vulnérabilité PHP File Upload Bypass Via Plugin Installer. Il s'agit d'une faille dans WordPress qui permet à un attaquant de télécharger des fichiers PHP via le plugin et le téléchargeur de thème. PHP est un langage de script utilisé pour générer du HTML. Les fichiers PHP peuvent également être utilisés pour injecter des logiciels malveillants dans un site Web.
Cependant, cette vulnérabilité n'est pas aussi grave qu'il y paraît car l'attaquant a besoin d'autorisations de niveau administrateur pour exécuter cette attaque.
Vulnérabilité d'injection d'objet PHP
Selon WordPress, le deuxième correctif concerne une vulnérabilité de chaînes POP d'exécution de code à distance qui pourrait permettre à un attaquant d'exécuter du code à distance.
Une vulnérabilité RCE POP Chains signifie généralement qu’il existe une faille qui permet à un attaquant, généralement en manipulant les entrées que le site WordPress désérialise, d’exécuter du code arbitraire sur le serveur.
La désérialisation est le processus par lequel les données sont converties dans un format sérialisé (comme une chaîne de texte). La désérialisation est la partie où elles sont reconverties dans leur forme d'origine.
Wordfence décrit cette vulnérabilité comme une vulnérabilité d'injection d'objet PHP et ne mentionne pas la partie RCE POP Chains.
Voici comment Wordfence décrit la deuxième vulnérabilité de WordPress :
« Le deuxième correctif traite de la manière dont les options sont stockées – il les nettoie d'abord avant de vérifier le type de données de l'option – les tableaux et les objets sont sérialisés, ainsi que les données déjà sérialisées, qui sont à nouveau sérialisées. Bien que cela se produise déjà lors de la mise à jour des options, cela n’a pas été effectué lors de l’installation, de l’initialisation ou de la mise à niveau du site.
Il s’agit également d’une vulnérabilité à faible menace dans la mesure où un attaquant aurait besoin d’autorisations de niveau administrateur pour lancer une attaque réussie.
Néanmoins, l’ annonce officielle de WordPress concernant la version de sécurité et de maintenance recommande de mettre à jour l’installation de WordPress :
« Comme il s'agit d'une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Des rétroportages sont également disponibles pour d’autres versions majeures de WordPress, 4.1 et versions ultérieures.
Corrections de bugs dans WordPress Core
Cette version corrige également cinq bugs dans le noyau WordPress :
- Le texte n'est pas mis en surbrillance lors de la modification d'une page dans les derniers Chrome Dev et Canary
- Mettre à jour la version PHP par défaut utilisée dans l'environnement Docker local pour les anciennes branches
- wp-login.php : messages/erreurs de connexion
- print_emoji_styles obsolètes produits lors de l'intégration
- Les pages de pièces jointes ne sont désactivées que pour les utilisateurs connectés
En plus des cinq correctifs ci-dessus pour le Core, il existe 16 correctifs de bogues supplémentaires pour l'éditeur de blocs.
Lire l' annonce officielle de la version de sécurité et de maintenance de WordPress
Descriptions WordPress de chacune des 21 corrections de bugs
La description Wordfence des vulnérabilités :
La mise à jour de sécurité WordPress 6.4.3 – Ce que vous devez savoir
Image en vedette par Shutterstock/Roman Samborskyi