La mise à jour de sécurité WordPress 5.8.3 corrige l'injection SQL, les failles XSS

L’équipe de développement de WordPress a publié la version 5.8.3, une version de sécurité à cycle court qui corrige quatre vulnérabilités, dont trois sont considérées comme très importantes.

L’ensemble comprend une injection SQL sur WP_Query, une injection SQL aveugle via WP_Meta_Query, une attaque XSS via les post slugs, et une injection d’objet admin.

Tous les problèmes ont des conditions préalables à leur exploitation, et la plupart des sites WordPress qui utilisent le paramètre de mise à jour automatique par défaut ne sont pas en danger.

Cependant, les sites utilisant WordPress 5.8.2 ou une version antérieure, avec des systèmes de fichiers en lecture seule qui ont désactivé les mises à jour automatiques du noyau dans wp-config.php, pourraient être vulnérables aux attaques basées sur les failles identifiées.

Les quatre failles corrigées avec la dernière mise à jour de sécurité sont les suivantes :

CVE-2022-21661: Injection SQL de sévérité élevée (score CVSS 8.0) via WP_Query. Cette faille est exploitable via des plugins et des thèmes utilisant WP-Query. Les correctifs couvrent les versions de WordPress jusqu’à 3.7.37.
CVE-2022-21662: Gravité élevée (score CVSS 8.0) Vulnérabilité XSS permettant aux auteurs (utilisateurs à privilèges inférieurs) d’ajouter une porte dérobée malveillante ou de s’emparer d’un site en abusant des post-slugs. Les correctifs couvrent les versions de WordPress jusqu’à 3.7.37.
CVE-2022-21664: Injection SQL de sévérité élevée (score CVSS 7,4) via la classe de base WP_Meta_Query. Les correctifs couvrent les versions de WordPress jusqu’à 4.1.34.
CVE-2022-21663: problème d’injection d’objet de gravité moyenne (score CVSS 6,6) qui ne peut être exploité que si un acteur malveillant a compromis le compte administrateur. Les correctifs couvrent les versions de WordPress jusqu’à 3.7.37.

Il n’y a eu aucun rapport sur l’exploitation active de ce qui précède dans la nature, et aucun de ces défauts n’est censé avoir un impact potentiel grave sur la plupart des sites WordPress.

Néanmoins, il est recommandé à tous les propriétaires de sites WordPress mise à niveau vers la version 5.8.3, vérifiez la configuration de leur pare-feu et assurez-vous que les mises à jour principales de WP sont activées.

Ce paramètre peut être vu sur le paramètre ‘define’ dans wp-config.php, qui devrait être « define(‘WP_AUTO_UPDATE_CORE’, true ); »

Les mises à jour de base automatisées ont été introduites en 2013 sur WordPress 3.7, et selon statistiques officielles, seulement 0,7% de tous les sites WP exécutent actuellement une version antérieure à celle-ci.

La mise à jour de sécurité WordPress 5.8.3 corrige l’injection SQL, les failles XSS

Vulnérabilité critique F5 BIG-IP ciblée par des attaques destructrices

Le centre de cybersécurité britannique a envoyé 33 millions d’alertes aux entreprises

GitHub annonce une expérience 2FA améliorée pour les comptes npm

Microsoft corrige le nouveau relais NTLM zero-day dans toutes les versions de Windows

Microsoft May 2022 Patch Tuesday corrige 3 zero-days et 75 failles

Le gouvernement britannique publie un outil gratuit pour vérifier les risques de cybersécurité des e-mails

HomePod avec écran LCD à nouveau corroboré par une pièce ayant fui

La nouvelle application Adobe Express avec Firefly AI est désormais disponible sur l’App Store iOS

La détection de chute de l’Apple Watch aide à sauver un cycliste après un accident lors d’une averse

Comment désactiver la connexion automatique iPhone WiFi pour les réseaux publics et opérateurs

Le portefeuille Smart MagSafe pourrait vous alerter si vous laissez une carte derrière vous

iOS 18 : ce que j’attends de Siri + AI

Voyant vert clignotant sur votre étui Airpods ? Apprenez à résoudre

Comment activer et désactiver les sous-titres pour les vidéos sur TikTok

Raccourci iPhone pour activer/désactiver les services de localisation