Publié par UnderNews Actu - Télécharger l'application Android

Plus d’un million de sites sont exposés à une faille de sécurité détectée dans Jetpack, un plugin WordPress très populaire. Cette faille permettrait d’incorporer un code JavaScript corrompu dans un commentaire d’article.

C’est le cabinet de sécurité Sucuri qui a tiré la sonnette d’alarme, concernant une vulnérabilité critique de type XSS :

« Au cours des audits de recherches régulières pour notre Sucuri Firewall (WAF base Cloud), nous avons découvert une vulnérabilité XSS qui affecte le plugin WordPress Jetpack, actuellement installé sur plus d’un million de sites WordPress. La faille de sécurité peut être facilement exploitée via wp-comments et nous recommandons à chacun de mettre à jour dès que possible, si vous ne l’avez pas encore fait. »

L’équipe de Jetpack a mis en ligne une nouvelle version, notée 4.0.3, qui corrige la vulnérabilité, jugée critique.

Jetpack-alerte

La vulnérabilité XSS repérée est dangereuse car elle est dite « stockée » et permet d’introduire des codes malveillants JavaScript, stockés dans la base de données des commentaires du site infecté. Ensuite, ils sont exécutés dès qu’un visiteur affiche la page contenant le commentaire malveillant. A partir de là, les possibilités sont très nombreuses, et le pirate attaquant pourra prendre le contrôle du navigateur des visiteurs, s’approprier leurs cookies, les rediriger, ou injecter toutes sortes d’éléments malveillants. Le pire concerne les administrateurs des sites infectés : ces derniers pourront voir leurs précieux cookies d’identification dérobés puis utilisés par l’attaquant pour accéder librement au backoffice.

HMA Pro VPN

jetpack-wp-banner

Développé par Automattic, la maison mère de WordPress, Jetpack fournit un ensemble d’outils (statistiques, sécurité,…) pour les sites WordPress auto-hébergés. A noter que la présente faille de sécurité ne concerne que les sites qui ont installé le module annexe Jetpack Shortcode Embeds, lequel permet d’insérer du contenu (vidéo, liens, tweets,…) dans les commentaires.

 

Source : L’Informaticien

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.