WordPress 3.6.1 : Mise à jour de sécurité disponible au téléchargement

0
64

La version 3.6.1 du CMS WordPress est disponible. Cette version de maintenance corrige 13 bugs mais c’est également une mise à jour de sécurité importante pour toutes les versions précédentes de WordPress, et nous vous encourageons fortement à mettre à jour vos sites immédiatement.

Elle corrige principalement trois problèmes repérés par l’équipe de sécurité de WordPress :

  • Bloque des désérialisations PHP non sûres qui peuvent survenir dans certains cas isolés et certaines configurations particulières, qui peuvent mener à l’exécution de code distant. Découvert par Tom Van Goethem.
  • Empêche un utilisateur ayant le rôle Auteur de créer un article « écrit par » un autre utilisateur à l’aide d’une requête spécialement conçue. Découvert par Anakorn Kyavatanakij.
  • Corrige des validations d’entrées insuffisantes qui peuvent mener à une redirection ou amener l’utilisateur sur un autre site. Découvert par Dave Cummo, un sous-contractant de Northrup Grumman pour les U.S. Centers for Disease Control and Prevention.

Par ailleurs, les restrictions de sécurité pour les envois de fichiers ont été revues afin d’amoindrir le potentiel de faille XSS. A noter aussi la découverte par le chercheur indépendant Jamal Eddine d’une vulnérabilité XSS au sein de l’administration des thèmes de WordPress 3.6 :

1

Merci à tous ceux qui ont fait des signalements responsables directement à l’ équipe de sécurité WordPress. Pour plus d’informations sur ces modifications, lisez les notes de version et consultez la liste des modifications.

Téléchargez WordPress 3.6.1 en français ou mettez votre version à jour en passant par le menu Mises à jour de votre Tableau de bord.