La brèche a été identifiée par les chercheurs de RIPS Tech et reprise par The Hacker News. Deux failles distinctes permettent à un compte auteur de prendre le plein contrôle du CMS et d'exécuter arbitrairement du code.
Les chercheurs ont contacté WordPress le 16 octobre via la plateforme Hackerone. Après des échanges, l'équipe de WordPress a confirmé la brèche et est parvenue à reproduire l'attaque.
Mais le 6 décembre, WordPress 5.0 a été mis en ligne… sans correctif. Il faudra attendre la version 5.0.1 pour qu'une des deux failles soit corrigée. Le 14 février, un patch est finalement mis en ligne et RIPS Tech confirme son efficacité.
Si ce n'est pas déjà fait, il est donc plus que recommandé de mettre à jour votre site.
Commentaires (5)
#1
Il y a des gens qui n’ont pas activé les mises à jour auto sur leur Wordpress ?!
#2
Si tu veux pas une indispo, oui
#3
Si tu ne veux pas d’indispo, il vaut mieux faire les mises à jour, vu le nombre de robots qui scannent tous les sites web pour exploiter toutes les vulnérabilités WP connues…
#4
Wordpress, c’est le Windows des CMS en fait.
" />
#5
En MAJ Auto Actuellement WordPress est en version 5.0.3 pour la version Fr