WordPress 4.7.5 : Une armature d’airain

  • ARTICLES
  • /
  • WORDPRESS 4.7.5 : UNE ARMATURE D’AIRAIN

À peine WordPress 4.7.4 sortie, la version 4.7.5 est déjà opérationnelle. Les utilisateurs actifs ont sans nul doute aperçu une notification de mises à jour dont l’arrivée est de bon augure pour les blogs, les sites e-commerce, aussi bien pour un particulier que pour les professionnels.



WordPress 4.7.5 corrige les problèmes de sécurité des versions précédentes. Les experts en sécurité de la plateforme dirigée par Aaron Campbell ont pris la responsabilité d’éradiquer six grandes vulnérabilités de WordPress au profit des utilisateurs.




  • Redirection insuffisante dans la classe HTTP : il s’agit du fichier class-http.php qui autorise sans permission la redirection vers une URL permettant de recueillir des informations confidentielles

  • L’accès à des métadonnées dans l’interface de programmation applicative XML-RPC (Appel de Procédure à Distance).

  • Une faille de type CRSF – Cross Site Request Forgery présente dans la boîte de dialogue du système de fichier de WordPress. Son but est de transmettre à un utilisateur authentifié une fausse requête HTTP pointée sur une action interne du site pour utiliser les droits d’administration.

  • Une faille de scripting XSS : faille de sécurité permettant l’injection du contenu dans une page. Cette vulnérabilité a été découverte entre le site WordPress, et le téléchargement de fichiers volumineux. À noter que les téléchargements Peer-to-Peer sont décommandés pour les navigateurs exécutant des sites WP.

  • Une autre faille de scripting XSS découverte, et corrigée entre les sites, et l’outil de personnalisation du tableau de bord (Customizer).



Pour les curieux, WordPress diffuse publiquement une liste complète des mises à jour présente dans la version 4.7.5.



Coopération de WordPress avec HackerOne : Quelle importance ?



HackerOne est une plateforme permettant aux experts en sécurité web de signaler les vulnérabilités d’une manière plus coopérative avec les journalistes, pour minimiser le temps de réponse relatif aux problèmes constaté. Ainsi, la gestion des polémiques, et des réactions du public vis-à-vis d’une vulnérabilité sera plus élémentaire.