La semaine dernière, un exploit 0-Day a été diffusé visant le CMS WordPress dans sa dernière version stable 3.5.1. A la clé, la possibilité d’un déni de service (DoS) assez efficace pour un attaquant menant rapidement au crash du site Web cible. Heureusement, WordPress 3.5.2 fait son arrivée et corrige ua passage la vulnérabilité.
Webmasters, mettez à jour vos sites Internet sous WordPress ! En effet, le chercheur Krzysztof Katowicz-Kowalewski a découvert une vulnérabilité permettant à un attaquant de faire crasher en un temps record les sites Web basés sur le CMS WordPress v3.5.1. C’est la méthode crypt_private() située dans la librairie PHP de hashing portable PHPASS /wp-includes/class-phpass.php.
Vous l’aurez compris, la faille n’est donc pas directement issue du produit WordPress mais d’une librairie qu’il embarque. Cependant, vu que cela était critique pour la santé des sites, la Team a corrigé la vulnérabilité pour la nouvelle version 3.5.2.
Vous pouvez dès maintenant la télécharger sur le site officiel ou mettre à jour vos sites automatiquement en un clic via l’administration.