Une vulnérabilité WordPress classée critique a été corrigée. Le correctif est appliqué à la version 5.7.2 de WordPress. Les sites ayant opté pour le téléchargement automatique devraient recevoir cette mise à jour sans aucune action supplémentaire de la part des éditeurs.Les éditeurs sont encouragés à vérifier la version de WordPress qu’ils utilisent pour s’assurer qu’ils sont mis à jour vers la version 5.7.2.
Vulnérabilité d’injection d’objets
La vulnérabilité qui affecte WordPress est appelée une vulnérabilité d’injection d’objets. Plus précisément, il s’agit d’une injection d’objets dans la vulnérabilité PHPMailer.Selon le site Web de sécurité Owasp.org, voici la définition d’une vulnérabilité d’injection d’objets PHP :«PHP Object Injection est une vulnérabilité au niveau de l’application qui pourrait permettre à un attaquant d’effectuer différents types d’attaques malveillantes, telles que l’injection de code, l’injection SQL, la traversée de chemin et le déni de service d’application, en fonction du contexte. L’entrée n’est pas correctement filtrée avant d’être passée à la fonction PHP unserialize (). Puisque PHP autorise la sérialisation d’objets, les attaquants pourraient passer des chaînes sérialisées ad-hoc à un appel vulnérable unserialize (), entraînant une injection arbitraire d’objets PHP dans le champ d’application. »
Vulnérabilité WordPress classée comme critique
La vulnérabilité est classée près du niveau de danger le plus élevé. Sur une échelle de 1 à 10 utilisant le Common Vulnerability Scoring System (CVSS), cette vulnérabilité est notée à 9.8. Le site Web de sécurité Patchstack a publié la cote officielle de vulnérabilité du gouvernement des États-Unis.
Vulnérabilité WordPress évaluée critique
La vulnérabilité WordPress est notée 9,8 sur une échelle de 1 à 10.Selon le site de sécurité Patchstack qui a publié les détails de la vulnérabilité :PublicitéContinuer la lecture ci-dessous «DétailsInjection d’objet dans la vulnérabilité PHPMailer découverte dans WordPress (un problème de sécurité affectant les versions de WordPress entre 3.7 et 5.7).SOLUTIONMettez à jour WordPress vers la dernière version disponible (au moins 5.7.2). Toutes les versions de WordPress depuis la version 3.7 ont également été mises à jour pour résoudre le problème de sécurité suivant. »L’annonce officielle de WordPress pour WordPress 5.7.2 déclarait: »Mises à jour de sécurité
Un problème de sécurité affecte les versions de WordPress entre 3.7 et 5.7. Si vous n’avez pas encore mis à jour vers 5.7, toutes les versions de WordPress depuis 3.7 ont également été mises à jour pour résoudre les problèmes de sécurité suivants: Injection d’objets dans PHPMailer. site Web qui annonce des vulnérabilités a noté que ce problème est survenu parce qu’un correctif pour une vulnérabilité précédente en a créé une nouvelle. La base de données nationale sur les vulnérabilités du gouvernement américain décrit la vulnérabilité comme suit: «PHPMailer 6.1.8 à 6.4.0 permet l’injection d’objets via la désérialisation Phar via addAttachment avec un chemin UNC REMARQUE : ceci est similaire à CVE-2018-19296, mais est survenu parce que 6.1.8 a corrigé un problème de fonctionnalité dans lequel les noms de chemin UNC étaient toujours considérés comme illisibles par PHPMailer, même dans des contextes sûrs. Le correctif a éliminé le code qui bloquait l’exploitation d’addAttachment. »
La base de données nationale sur les vulnérabilités évalue la vulnérabilité de WordPress comme critique
Mettre à jour WordPress immédiatement
cela peut signifier que les conséquences de la non-mise à jour de WordPress vers la version 5.7.2 peuvent rendre un site vulnérable à un événement de piratage.
Citation
Annonce WordPress de la version 5.7.2