Pc-urgence Une faille dans le plug-in Jetpack expose 1 million de sites WordPress - Pc-urgence

Une faille dans le plug-in Jetpack expose 1 million de sites WordPress

La vulnérabilité dans le plug-in Jetpack peut être exploitée pour injecter du code malveillant dans les commentaires. (Crédit : L.Constantin/IDGNS)

La vulnérabilité dans le plug-in Jetpack peut être exploitée pour injecter du code malveillant dans les commentaires. (Crédit : L.Constantin/IDGNS)

Les propriétaires de sites web basés sur WordPress devraient mettre à jour le plug-in Jetpack le plus tôt possible : une sérieuse vulnérabilité peut exposer leurs utilisateurs à des attaques.

Le plug-in Jetpack, très populaire, permet d’ajouter gratuitement aux sites WordPress des fonctions d’optimisation, de gestion et de sécurité. Développé par l’éditeur Automattic, dépositaire de WordPress.com et du projet open source WordPress, le plug-in a été installé plus de 1 million de fois. Mais, les chercheurs de l’entreprise de sécurité Internet Sucuri ont trouvé une vulnérabilité cross-site scripting (XSS) dans toutes les versions de Jetpack livrées depuis 2012, à partir de la version 2.0. La faille a été identifiée dans le module Shortcode Embeds Jetpack qui permet aux utilisateurs d’intégrer des vidéos externes, des images, des documents, des tweets et d’autres ressources à leur contenu. Or cette vulnérabilité peut être facilement exploitée pour injecter du code JavaScript malveillant dans les commentaires.

Étant donné que le code JavaScript est persistant, il est exécuté dans le navigateur des utilisateurs chaque fois qu’ils consultent le commentaire sur le site affecté. La vulnérabilité peut servir à voler les cookies d’authentification, y compris de la session administrateur et rediriger les visiteurs vers des programmes d’exploits, ou injecter du spam SEO. « La faille est facilement exploitable via wp-comments et nous recommandons à chacun de mettre à jour le plug-in dès que possible, si ce n’est pas déjà fait », a déclaré dans un billet le chercheur de Sucuri, Marc-Alexandre Montpas. Les sites sur lesquels le module Shortcode Embeds n’a pas été activé ne sont pas concernés par la vulnérabilité, mais les fonctions apportées par ce module sont très populaires et il est probable que beaucoup de sites l’ont activé.

21 correctifs distincts pour chaque version de Jetpack

Les développeurs du plug-in Jetpack ont travaillé avec l’équipe de sécurité de WordPress pour livrer via le système de mise à jour automatique de WordPress, des correctifs pour toutes les versions affectées. Les versions Jetpack 4.0.3 ou plus récentes ont déjà été corrigées. Au cas où les utilisateurs ne veulent pas charger la dernière version du plug-in, les développeurs ont livré 21 correctifs distincts pour chaque version de Jetpack, à savoir 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 et 4.0.3.

Let’s block ads! (Why?)

Powered by PC-Urgence.com

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Installation Internet

Prix:
89 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate

Assistance à Distance

Prix:
39 €

Antivirus Gratuit

Prix:
GRATUIT

Elu Service de l'année

Prix:
2013

Rappel Gratuit

Prix:
GRATUIT
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence