WordPress a annoncé une version de sécurité et de maintenance, la version 5.8.1. Il est important de mettre à jour WordPress, en particulier les versions 5.4 à 5.8 afin de corriger trois problèmes de sécurité.
Version de sécurité et de maintenance de WordPress 5.8.1
Il n’est pas rare que WordPress ou tout autre logiciel d’ailleurs publie une mise à jour de correction de bogue après une mise à jour de version majeure afin de résoudre des problèmes imprévus et d’introduire des améliorations qui n’ont pas été apportées à temps pour la version majeure.
Dans WordPress, ces mises à jour sont appelées une version de maintenance.
Cette mise à jour comprend également une mise à jour de sécurité, ce qui est assez rare pour le noyau WordPress. Cela rend cette mise à jour plus importante que la version de maintenance typique.
Problèmes de sécurité WordPress corrigés
WordPress 5.8.1 corrige trois vulnérabilités :
- Une vulnérabilité d’exposition des données dans l’API REST
- Vulnérabilité Cross-Site Scripting (XSS) dans l’éditeur de blocs Gutenberg
- Vulnérabilités multiples de gravité critique à élevée dans la bibliothèque JavaScript Lodash
Les trois vulnérabilités ci-dessus sont si préoccupantes que l’annonce de WordPress recommande de mettre immédiatement à jour les installations de WordPress.
Vulnérabilité de l’API REST
L’API WordPress REST est une interface qui permet aux plugins et aux thèmes d’interagir avec le noyau WordPress.
L’API REST a été une source de vulnérabilités de sécurité, y compris plus récemment avec la vulnérabilité Gutenberg Template Library & Redux Framework qui a affecté plus d’un million de sites Web.
Cette vulnérabilité est décrite comme une vulnérabilité d’exposition des données, ce qui signifie que des informations sensibles pourraient être révélées. Il n’y a pas d’autres détails pour le moment concernant le type d’informations, mais cela pourrait être aussi grave que les mots de passe des données qui pourraient être utilisés pour monter une attaque via une autre vulnérabilité.
Vulnérabilité WordPress Gutenberg XSS
Les vulnérabilités de type Cross-Site Scripting (XSS) se produisent relativement fréquemment. Ils peuvent se produire chaque fois qu’il y a une entrée d’utilisateur comme un formulaire de contact ou de courrier électronique, tout type d’entrée qui n’est pas « désinfecté » pour empêcher le téléchargement de scripts qui peuvent déclencher un comportement indésirable dans l’installation de WordPress.
L’Open Web Application Security Project (OWASP) décrit les dommages potentiels des vulnérabilités XSS :
« Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance. Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé et exécutera le script.
Parce qu’il pense que le script provient d’une source fiable, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservés par le navigateur et utilisés avec ce site. Ces scripts peuvent même réécrire le contenu de la page HTML.
Cette vulnérabilité spécifique affecte l’éditeur de blocs Gutenberg.
Vulnérabilités de la bibliothèque JavaScript WordPress Lodash
Ces vulnérabilités peuvent être les plus préoccupantes. La bibliothèque JavaScript Lodash est un ensemble de scripts utilisés par les développeurs qui présentent de multiples vulnérabilités.
La version la plus récente et la plus sûre est Lodash 4.17.21.
Le site Web CVE List sponsorisé par US Homeland Security détaille la vulnérabilité :
« Les versions de Lodash antérieures à 4.17.21 sont vulnérables à l’injection de commande via la fonction de modèle. »
Il semble également y avoir de nombreuses autres vulnérabilités affectant la bibliothèque Lodash dans la branche 4.1.7.
WordPress demande une mise à jour immédiate
Ces vulnérabilités de sécurité ajoutent un sentiment d’urgence à cette mise à jour. Tous les éditeurs sont recommandés par WordPress pour mettre à jour.
L’annonce officielle de WordPress recommande de mettre à jour :
« Parce qu’il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Toutes les versions depuis WordPress 5.4 ont également été mises à jour.
Citations
Version de sécurité et de maintenance de WordPress 5.8.1
Description de la vulnérabilité CVE Lodash CVE-2021-23337
