Dans cette version WordPress 5.2.3, il ne semble pas que les failles corrigées aient été dévoilées publiquement ou identifiées par des CVE, mais les administrateurs qui ont le souci de la compatibilité ne tarderont sans doute pas pour l’installer.
Comme d’habitude, le thème dominant est la résolution des problèmes de type cross-site scripting (XSS), dont deux ont été signalés par Simon Scannell de RIPS Technologies, qui s’est vu attribué la découverte de la faille CSRF (Cross-Site Request Forgery) majeure corrigée dans WordPress 5.1.1 en mars dernier.
Ces dernières concernent les aperçus dans les publications et les commentaires stockés, auxquels il convient d’ajouter des failles XSS distinctes, affectant les téléchargements de médias, les aperçus de shortcodes, le tableau de bord, et qui sont liées à des problèmes de nettoyage d’URL.
Les anciennes versions de WordPress bénéficient également de la mise à jour de jQuery ajoutée à WordPress 5.2.1 en mai 2019.
Le cauchemar des plugins
On peut considérer que les mises à jour de sécurité WordPress, qui apparaissent trois ou quatre fois par an et qui sont installées automatiquement, sont devenues la partie la plus simple du processus de sécurisation du CMS.
Cette simplicité contraste nettement avec la mission titanesque qui consiste à corriger le flux constant de failles critiques qui apparaissent parmi les 54 922 plugins de la plateforme (au moment de l’écriture de cet article), même si bon nombre d’entre eux ne sont utilisés que par quelques sites seulement.
Par exemple, on peut mentionner la récente campagne pour pirater des sites WordPress, en tentant de créer de faux comptes administrateur à l’arrière-plan de plusieurs plugins vulnérables (Coming Soon Page & Maintenance Mode, Yellow Pencil Visual CSS Style Editor, Blog Designer et Bold Page Builder).
L’utilisation et l’exploitation de ces vulnérabilités à l’heure actuelle montre bien que de nombreux sites ne parviennent pas à se mettre à jour assez rapidement (ou pas du tout), les rendant ainsi vulnérables aux campagnes qui analysent simplement des cibles non corrigées à grande échelle.
En mars 2019, nous avons constaté deux failles importantes au niveau de plugins, l’une dans Easy WP for SMTP, et une seconde dans Abandoned Cart for WooCommerce. Une autre, WP Live Chat Support, a été victime de deux failles majeures en quelques semaines seulement.
Rendez-vous directement sur YouTube si la vidéo ne s’affiche pas correctement ici.
Et nous ne parlons ici que des plugins. Les cybercriminels peuvent aussi utiliser des botnets pour forcer la porte d’entrée en utilisant des attaques d’identifiants par force brute, comme ce fut le cas en décembre 2018 avec un plugin qui a infecté 20 000 sites.
Bien sûr, nous vous parlons ici que du dernier cas de ciblage de CMS qui se poursuit depuis des années, avec WordPress en tête de liste.
Mise à jour
WordPress 5.2.3 peut être téléchargé à partir de Tableau de bord> Mises à jour, en cliquant sur Mettre à jour maintenant (les sites prenant en charge les mises à jour en arrière-plan devraient déjà être mis à jour).
Et n’oubliez pas de surveiller la prochaine mise à jour de WordPress, la version 5.3, qui doit sortir le 12 novembre 2019.
Billet inspiré de WordPress 5.2.3 fixes new clutch of security vulnerabilities, sur Sophos nakedsecurity.