Des millions de sites WordPress viennent de bénéficier d'une mise à niveau de sécurité majeure

un utilisateur qui s’appelle nguyenhg_vcs, a découvert un bogue de sécurité dans la façon dont Jetpack gère les commentaires pour différentes images. Une fois identifié, Automattic (la société qui a construit et gère à la fois WordPress, l’un des systèmes de gestion de contenu les plus populaires au monde et Jetpack, un plugin qui offre de nombreux avantages, allant d’une sécurité supplémentaire, des performances améliorées à diverses fonctionnalités de gestion) a préparé une mise à jour de sécurité et, en raison de la gravité de la menace, a décidé de l’appliquer à tout le monde. Jusqu’à présent, environ cinq millions de sites Web ont été mis à jour, la page des statistiques de téléchargement montrant presque tous les sites concernés sécurisés. Nous ne connaissons pas les détails sur ce que le bogue permet réellement aux pirates de faire, mais nous savons qu’Automtic l’a corrigé en ajoutant une logique d’autorisation supplémentaire. Des versions vieilles de près de dix ans ont été affectées, a-t-il été ajouté, car le correctif résout le problème à partir de avec Jetpack 2.0.

Aucune preuve d’exploits

Automattic dit qu’il n’y a aucune preuve que la faille soit utilisée dans la nature, mais maintenant qu’elle est ouverte, elle pourrait très bien commencer à être utilisée. « Maintenant que la mise à jour a été publiée, ce n’est qu’une question de temps avant que quelqu’un essaie de tirer parti de cette vulnérabilité », ont déclaré les développeurs. « Pour vous aider dans ce processus, nous avons travaillé avec l’équipe de sécurité de WordPress.org pour publier des versions corrigées de toutes les versions de Jetpack depuis la 2.0 », a déclaré Automattic. « La plupart des sites Web ont été ou seront bientôt automatiquement mis à jour vers une version sécurisée. ils causent à la mise en page du site et à ses performances.Répondant au problème sur Twitter il y a des années, le développeur principal de WordPress, Andrew Nacin, a déclaré que la société ne l’avait fait qu’une poignée de fois.En 2019, rappelle Bleeping Computer, les développeurs ont poussé une mise à jour de sécurité critique vers Jetpack utilisateurs, corrigeant un bogue dans la façon dont il traitait le code d’intégration. Via  : Bleeping Computer