Failles et vulnérabilités de WordPress

WordPress 3.6.1 : Maintenance et Sécurité

Blog Failles et vulnérabilités de WordPress WordPress 3.6.1 : Maintenance et Sécurité
0 commentaire

Après près de 7 millions de téléchargements de WordPress version 3.6, la version 3.6.1 vient de sortir. Cette mise à jour corrige 13 bugs dans la version 3.6, ce qui en fait une version plutôt bien fournie.

WordPress 3.6.1 est aussi une publication de sécurité pour toutes les versions précédentes de WordPress, et l’équipe des développement WordPress nous encourage vivement à mettre à jour nos sites immédiatement. Elle aborde trois problèmes résolus par l’équipe de sécurité WordPress:

  • Remote Code Execution : Bloquer une faille de type PHP Object Injection, très dangereuse qui pourrait se produire dans des situations et des configurations limitées, ce qui peut entraîner l’exécution de code à distance. Rapporté par Tom Van Goethem.
  • Privilege Escalation : Empêcher un utilisateur avec un rôle Auteur, en utilisant une requête spécialement conçue, d’être capable de créer un poste « écrit par » un autre utilisateur. Rapporté par Anakorn Kyavatanakij.
  • Open Redirect : Corriger un champ d’entrée (input) qui pourrait entraîner la redirection d’un utilisateur à un autre site Web. Rapporté par Dave Cummo.

En outre, ils ont aussi ajouté des mesures de sécurité autour des uploads de fichiers afin d’atténuer le potentiel de cross-site scripting (XSS).

Les failles ont été données en divulgation responsable de les questions posées directement à l’équipe de sécurité. Pour plus d’informations sur les modifications, voir les notes de version ou de consulter la liste des changements.

Télécharger WordPress 3.6.1 ou tenez vous à jour depuis le « Tableau de bord » → menu « Mises à jour » dans la zone d’administration de votre site.

0 commentaire