WordPress : faille sur le plug-in JetPack

31/05/2016
logo WordPress

Près d’un million de sites sont exposés à une faille de sécurité découverte dans le plug-in JetPack. Elle permet d’injecter un code JavaScript corrompu dans la section commentaires d’un site web.

Un million de sites potentiellement vulnérables

Le plug-in JetPack est un des plug-ins les plus populaires du gestionnaire de contenu open source. Il permet notamment de bénéficier de la plupart des fonctionnalités disponibles sur la plateforme wordpress.com avec un site hébergé indépendamment comme l’analyse du trafic, une protection contre les utilisateurs malveillants et une accélération de l’accès aux ressources multimédia.

Ce sont les équipes de la société Sucuri, spécialiste de la sécurité informatique, qui ont découvert et diffusé l’information. WordPress Jetpack contient une vulnérabilité de type XSS qui expose potentiellement un million de sites web l’utilisant. Plus précisément, c’est le module dédié à la gestion des Shortcodes embarqués, permettant aux utilisateurs d’intégrer des contenus externes au site, qui pose problème. Cette faille permet à un utilisateur malveillant d’injecter un code JavaScript corrompu dans des commentaires. S’exécutant sur le navigateur à la lecture des commentaires, le code pourra permettre le col de cookies d’identification, la redirection des visiteurs vers un autre site ou l’injection de spam.

Un correctif disponible

Toutes les versions antérieures à la version 4.0.3 de JetPack sont affectées. Il est donc nécessaire de se mettre à jour au plus vite.

Solutions

comments powered by Disqus
top