Certains articles de veille peuvent faire l'objet de traduction automatique.
Le populaire et l’un des plugins WordPress les plus utilisés, Jetpack a récemment résolu un problème de sécurité critique. Malgré aucune exploitation active, WordPress force installé les mises à jour du plugin Jetpack sur les sites Web pour corriger la vulnérabilité.
Vulnérabilité du plugin Jetpack WordPress
Apparemment, le plugin Jetpack avait développé une grave faille de sécurité qui risquait de mettre en danger des millions de sites Web WordPress. La nouvelle a fait surface en ligne lorsque l’équipe Jetpack a déployé une mise à jour de sécurité majeure pour le plugin, exhortant les utilisateurs à mettre à jour.
Selon la publication récemment bulletin de sécurité, les développeurs du plugin ont découvert une vulnérabilité critique affectant l’API Jetpack lors d’un audit de sécurité interne. Notamment, la vulnérabilité existait dans le plugin depuis sa version 2.0 de 2012 – il y a environ une décennie.
Heureusement, la faille est restée cachée aux adversaires, évitant ainsi toute menace à la sécurité des sites Web. Néanmoins, si elle est exploitée, la vulnérabilité permettrait à un attaquant ayant des rôles d’auteur sur un site Web de manipuler n’importe quel fichier dans l’installation de WordPress.
Pour l’instant, l’équipe du plugin s’est abstenue de partager des détails sur la vulnérabilité pour éviter d’éventuelles tentatives d’exploitation. Le changelog sur le page officielle du plugin répertorie simplement un problème d’API REST que l’équipe a résolu pour assurer une validation correcte de tous les fichiers téléchargés via l’API.
Après avoir remarqué la vulnérabilité, l’équipe du plugin Jetpack a rapidement développé un correctif pour différentes versions du plugin. Finalement, ils ont publié 102 versions différentes le même jour pour répondre aux exigences du site des différents utilisateurs de WordPress.
WordPress Force installe les mises à jour des plugins
Jetpack compte actuellement plus de 5 millions d’installations actives, faisant allusion au grand nombre de sites Web à risque en raison des vulnérabilités des plugins. Néanmoins, pour éviter de telles menaces, l’équipe du plugin a collaboré avec l’équipe de sécurité de WordPress pour assurer le déploiement automatique des correctifs.
Par conséquent, WordPress a commencé à forcer l’installation des mises à jour Jetpack sur les sites Web pour prévenir les attaques potentielles.
Bien que Jetpack ait confirmé ne détecter aucune exploitation active de la faille, les développeurs exhortent toujours les utilisateurs à assurer la mise à jour de leurs sites Web avec les dernières versions.
Par ailleurs, un autre plugin WordPress, Beautiful Cookie Consent Banner, a également récemment résolu un grave problème de script intersite (XSS). Par conséquent, tous les administrateurs WordPress doivent revoir leurs sites pour les mises à jour appropriées de tous les plugins installés afin d’éviter les risques de sécurité.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire