Le gestionnaire de contenu WordPress multiplie les mises à jour de sécurité ces dernières semaines. Depuis hier WordPress 4.2.2 est disponible, corrigeant deux failles de sécurité pour toutes les versions précédentes.
L’adoption immédiate de la version 4.2.2 de WordPress est donc très fortement recommandée. Elle corrige donc deux failles de grande criticité :
- Le paquetage d’icône Genericons, utilisé par un grand nombre de thèmes et plug-ins très populaires, contient un fichier HTML vulnérable à une attaque de type cross-site scripting. Tous les thèmes et plug-ins affectés hébergés sur WordPress.org ont déjà été mis à jour par l’équipe de sécurité WordPress en supprimant ce fichier non essentiel (incluant le thème par défaut « Twenty Fifteen »). Pour aider à la protection des autres utilisations de Geniricons, WordPress 4.2.2 analyse le répertoire wp-content pour le fichier HTML incriminé et le supprime.
- Les versions WordPress versions 4.2 et précédentes étaient aussi affectées par une autre vulnérabilité de type cross-site scripting permettant à un utilisateur anonyme de compromettre un site. WordPress 4.2.2 inclut une correction pour celle-ci.
Cette version contient aussi une modification contre une potentielle attaque (toujours XSS) à l’utilisation de l’éditeur visuel. Plus communément, cette version embarque quelques corrections de maintenance, dont 13 bugs issus de la version 4.2. L’intégralité des corrections est disponible dans les notes de versions et la liste des changements.
Source : https://wordpress.org
