27 avril 2021 à 15 :01 UTC
Mis à jour : 27 avril 2021 à 15 :06 UTC
Les chercheurs fournissent des détails techniques sur le bogue qui a été corrigé dans la dernière version de sécurité
Un bogue d’injection XML External Entity (XXE) dans WordPress pourrait permettre aux attaquants de voler à distance les fichiers d’une victime, ont révélé des chercheurs. bug corrigé. En savoir plus sur les dernières nouvelles sur les vulnérabilités WordPress
Une vulnérabilité XXE permet à un attaquant d’interférer avec le traitement des données XML par une application. Cela peut leur permettre d’afficher des fichiers sur le système de fichiers du serveur d’applications et d’interagir avec tous les systèmes dorsaux ou externes auxquels l’application elle-même peut accéder.Dans ce cas, le bogue XXE était présent dans les versions 5.7 et inférieures de WordPress, et pourrait permettre une utilisation à distance divulgation arbitraire de fichiers et falsification de requêtes côté serveur (SSRF).
Restrictions
ont expliqué les chercheurs de SonarSource dans l’article du blog.7 offre une fonctionnalité de mise à niveau de site HTTP vers HTTPS en un clic
il pourrait être exploité avec des privilèges inférieurs. »Les chercheurs ont révélé la vulnérabilité du code à l’équipe de sécurité de WordPress, qui l’a corrigée dans la dernière version (5.7.1) et attribué CVE-2021-29447.
Réparer
WordPress, le logiciel de gestion de contenu le plus populaire au monde, alimente environ 40% de tous les sites Web utilisés, ce qui en fait une cible claire pour les acteurs malveillants.Heureusement, grâce au travail de sécurité en cours des mainteneurs du framework CMS open source, de nombreux sites exécutant WordPress va maintenant se mettre à jour automatiquement.Les administrateurs Web qui n’ont pas cette fonctionnalité activée peuvent mettre à jour via leur tableau de bord d’administration WordPress.YOU PEUT AUSSI AIMER LES Failles de sécurité WordPress: 800000 sites exécutant le plugin NextGen Gallery potentiellement vulnérables à pwnage