L’équipe WordPress a publié une mise à jour de sécurité pour WordPress version 5.0.1. Cette mise à jour de sécurité concerne toutes les versions depuis WordPress 3.7. Il est vivement recommandé de mettre à jour immédiatement vos sites afin de réduire les risques d’exploitation des vulnérabilités.

Changelog à compatibilité ascendante:

  • L'élément de formulaire ne passe plus KSES
  • Les entrées meta_input, file et GUID sont ignorées
  • Validation MIME pour les fichiers téléchargés

Pour plus d'informations sur ce qui a été modifié ou corrigé, veuillez consulter les notes officielles du développeur 5.0.1.


Les versions 5.0 et antérieures de WordPress sont affectées par les bogues suivants, qui sont corrigés dans la version 5.0.1. Des versions mises à jour de WordPress 4.9 et des versions antérieures sont également disponibles pour les utilisateurs n'ayant pas encore mis à jour leur version 5.0.

  • Les auteurs peuvent modifier les métadonnées pour supprimer les fichiers pour lesquels ils ne sont pas autorisés.
  • Les auteurs peuvent créer des publications de types de publication non autorisés avec une entrée spécialement conçue.
  • Les contributeurs pouvaient créer des métadonnées de manière à aboutir à une injection d'objet PHP.
  • Les contributeurs peuvent éditer de nouveaux commentaires d'utilisateurs dotés de privilèges élevés, ce qui peut potentiellement conduire à une vulnérabilité de script intersite.
  • Des entrées d'URL spécialement conçues pourraient conduire à une vulnérabilité de script intersite dans certaines circonstances. WordPress lui-même n'a pas été affecté, mais des plugins pourraient l'être dans certaines situations.
  • L’écran d’activation des utilisateurs peut être indexé par les moteurs de recherche dans certaines configurations peu communes, ce qui entraîne la divulgation d’adresses e-mail et, dans certains cas rares, des mots de passe générés par défaut.
  • Les auteurs des sites hébergés sur Apache peuvent télécharger des fichiers spécialement conçus qui contournent la vérification MIME, ce qui entraîne une vulnérabilité de script intersite.


Assurez-vous de télécharger WordPress 5.0.1 ou accédez à la section Tableau de bord > Mises à jour et cliquez sur Mettre à jour maintenant. Les sites qui prennent en charge les mises à jour en arrière-plan automatiques commencent déjà à se mettre à jour automatiquement.



 jeudi, décembre 13, 2018

« Retour