La brèche a été signalée par les chercheurs allemands de RIPS Technologies il y a 7 mois, sans action pour l'instant de la part de WordPress.
La vulnérabilité réside dans la fonction de suppression des miniatures d'images. Elle accepte les paramètres sans poser de question. Cette fonction peut être détournée pour effacer n'importe quel fichier de WordPress.
Un facteur limite toutefois la dangerosité de la faille : l'utilisateur doit avoir au moins le rang d'auteur pour déclencher les hostilités. La faille reste néanmoins active, et un auteur existant pourrait se faire dérober ses identifiants.
En supprimant le fichier wp-config.php, un pirate pourrait même forcer le site à revenir sur l'écran d'installation. Certaines actions lui seront impossibles, mais il pourrait rediriger le site vers une base de données qu'il contrôle sur un autre serveur.
En attendant que WordPress réagisse, les chercheurs proposent un patch à appliquer pour se prémunir de la faille.
Commentaires (10)
#1
WordPress est techniquement dépassé. C’est devenu une véritable usine à gaz…
Le nombre de bugs/failles réguliers et la lenteur des correctifs fait que, perso, je ne le conseille à aucun de mes clients. Surtout avec les alternatives actuelles comme Grav.
#2
#3
Le plus utilisé ne signifie pas le plus adapté ;)
#4
#5
Je connaissais pas, merci pour le lien " />
#6
#7
Il existe beaucoup de sites d’assos Wordpress avec plusieurs utilisateurs au niveau auteur ou éditeur.
Des fois ces comptes ne sont crées uniquement que pour donner les mêmes droits et ne fâcher personne dans une équipe dirigeante même s’il n’existe qu’un seul auteur actif.
Alors si Jeanine, trésorière du club de rando, a mis “jeanine1958” en mot de passe au moment de la création de son compte et ne s’est jamais connectée depuis…
#8
Oh… une faille dans Wordpress… C’est pas banal.
#9
#10
ça a l’air intéressant Grav, mais ce qui me plait beaucoup aussi dans Wordpress, c’est leur plateforme .com qui ne nécessite aucun frais d’hébergement ou de nom de domaine ou aucune notion technique
elle est suffisante et même à mon avis conseillé pour beaucoup de blogueurs
après, c’est sur que ce n’est jamais sain d’avoir une société qui aurait trop de contrôle sur un domaine comme la liberté d’expression