WordPress 4.1.2 – Version de sécurité critique

WordPress 4.1.2 est disponible depuis quelques heures. Il s’agit d’une version de sécurité critique pour toutes les versions précédentes et nous vous encourageons fortement à mettre à jour vos sites immédiatement.

WordPress 4.1.1 et les versions antérieures sont affectés par une vulnérabilité Cross-Site Scripting critique, qui pourrait permettre à des utilisateurs anonymes de compromettre un site.

Avec cette mise à jour, ont également été corrigées trois autres problèmes de sécurité:

  • Dans WordPress 4.1 et supérieur, des fichiers avec des noms invalides ou dangereux pouvaient être téléchargés.
  • Dans WordPress 3.9 et supérieur, une vulnérabilité Cross-Site Scripting très limitée pouvait être utilisée dans le cadre d’une attaque d’ingénierie sociale.
  • Certains plugin étaient vulnérables à une Injection SQL.

 Liste des fichiers révisés:

readme.html
wp-admin/includes/class-wp-comments-list-table.php
wp-admin/includes/dashboard.php
wp-admin/includes/template.php
wp-admin/js/nav-menu.js
wp-includes/capabilities.php
wp-includes/class-wp-editor.php
wp-includes/formatting.php
wp-includes/functions.php
wp-includes/js/plupload/plupload.flash.swf
wp-includes/version.php
wp-includes/wp-db.php

 

Les sites qui prennent automatiquement en charge les mises à jour mineures commencent à être mis à vers jour WordPress 4.1.2. Patientez quelques temps si la mise à jour n’est pas encore disponible, elle vous parviendra d’ici quelques heures au plus tard.

Si vous êtes pressés, rendez-vous dans votre Tableau  de bord  → Mises à jour et cliquez simplement sur ​​’Mettre à jour ».

L’équipe de sécurité est informé de la double invite de mise à jour, et c’est le comportement attendu. Les utilisateurs sont priés de cliquer sur le bouton de mise à jour de couleur. La couleur du bouton sera différent en fonction de la palette de couleurs d’administration que vous utilisez.

WordPress 4.1.2 n’est en rien lié à la vulnérabilité Cross-Site Scripting découverte dans un certain nombre de plugin, et signalée plus tôt dans la journée.

 

WordPress 4.2 est prévue pour très bientôt, peut être même cette semaine, et contient déjà ces correctifs.

Publié à l'origine le : 21 avril 2015 @ 17 h 48 min

Pour compléter votre lecture.