WordPress 4.5.2 est disponible depuis aujourd’hui Samedi. C’est une version de sécurité qui concerne toutes les versions précédentes et nous vous encourageons fortement à mettre à jour vos sites immédiatement.
D’une part WordPress 4.5.1 et les versions antérieures sont affectées par plusieurs vulnérabilités de tyope SOME (Same-Origin Method Execution) dans `Plupload`, la bibliothèque tierce utilisée par WordPress pour télécharger des fichiers.
D’aute part, les versions 4.2 à 4.5.1 de WordPress sont vulnérables à un Cross Side Scripting utilisant des URIs spécialement conçus par MediaElement.js, la bibliothèque tierce utilisée pour les lecteurs multimédias.
MediaElement.js et Plupload ont également publié des mises à jour correctives de leur côté.
Ces deux problèmes ont été analysés et rapportés par l’équipe de Cure53, Mario Heiderich, Masato Kinugawa et FileDescriptor. Merci à l’équipe pour la pratique responsable de divulgation, et aux équipes de Plupload et de MediaElement.js qui travaillent en étroite collaboration avec l’équipe de WordPress pour coordonner et résoudre ces problèmes.
Télécharger WordPress 4.5.2 ou rendez-vous sur votre Tableau de bord → Mises à jour et cliquez simplement sur « Mettre à jour maintenant« . Les sites qui prennent en charge les mises à jour automatiques commencent à être mise à jour vers WordPress 4.5.2.
En outre, plusieurs vulnérabilités ont été rapportées concernant la bibliothèque de traitement d’images ImageMagick, utilisé par un certain nombre d’héberegeurs et est prise en charge dans WordPress.
ImageMagik a publié une version de mise à jour, la version 6.9.3-10, le 03 Mai dernier, mais il n’a pas encore été vérifié que cette mise à jour résout complètement le problème.
Si vous souhaitez consulter notre réponse à ces questions, lisez l’article disponible sur le blog de développement de base.
Publié à l'origine le : 7 mai 2016 @ 15 h 25 min