UNE NOUVELLE VULNÉRABILITÉ A ÉTÉ IDENTIFIÉE DANS WORDPRESS

cyber

Une vulnérabilité dans le filtrage des entrées d’utilisateurs authentifiés a été identifiée dans WordPress. Elle impacte toutes les versions de WordPress, y compris l’actuelle, 4.9.6, et son exploitation permettrait d’exécuter du code arbitraire. Le problème a été signalé il y a 7 mois à l’équipe de sécurité de WordPress mais reste toujours non corrigé.

Un utilisateur ayant des privilèges “auteur” ou supérieurs, pourrait, en supprimant définitivement la vignette d’une image téléversée, modifier ou supprimer tous fichiers du serveur web. En manipulant des fichiers de configuration comme “.htaccess” ou “wp-config.php”, un attaquant pourrait créer un nouveau compte administrateur WordPress. Une fois administrateur WordPress, il pourrait supprimer certaines sécurités de WordPress, ce qui lui permettrait d’exécuter du code arbitraire sur le serveur.

Les chercheurs ont publié sur leur blog une preuve de concept. La vidéo montre l’exploitation de la vulnérabilité et propose un correctif temporaire.

To read the original article:https://www.cyberveille-sante.gouv.fr/cyberveille/830-une-nouvelle-vulnerabilite-ete-identifiee-dans-wordpress-2018-06-28

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Next Post

Facebook Admits Sharing Users' Data With 61 Tech Companies

Facebook has admitted that the company gave dozens of tech companies and app developers special access to its users’ data after publicly saying it had restricted outside companies to access such data back in 2015. It’s an unusual clear view of how the largest social networking site manages your personal […]