Les chercheurs en sécurité ont signalé qu'une vulnérabilité d'injection d'objets est trouvée dans WordPress. L'impact de la vulnérabilité a été qualifié de «critique» par la base de données nationale sur les vulnérabilités. Les utilisateurs de WordPress devraient patcher leurs sites dès que possible.
La vulnérabilité d'injection d'objets critiques
La Injection d'objets dans PHPMailer problème de sécurité qui est résolu par deux vulnérabilités – CVE-2020-36326 et CVE-2018-19296, a alerté l'espace cybersécurité.
La faille est classée près du niveau de danger le plus élevé. Sur une échelle de 1 à 10 utilisation du système de notation de vulnérabilité commune (CVSS), le dernier CVE-2020-36326 est évalué à 9.8.
La Site Web de sécurité Owasp.org décrit cette vulnérabilité d'injection d'objets PHP de la manière suivante:
PHP Object Injection est une vulnérabilité au niveau de l'application qui pourrait permettre à un attaquant de mener différents types d'attaques malveillantes, comme l'injection de code, injection SQL, chemin Traversal, et déni de service de l'application, en fonction du contexte.
Selon une analyse de la base de données nationale officielle sur les vulnérabilités du gouvernement des États-Unis, le problème est survenu à cause d'un correctif pour la vulnérabilité précédente (CVE-2018-19296) qui est également associé au module PHPMailer. Apparemment, le correctif précédent a créé une nouvelle vulnérabilité qui exigeait la publication immédiate d'une mise à jour WordPress.
Le critique Vulnérabilité WordPress a été patché. Le correctif met à jour le système WordPress à la version 5.7.2.
Comment mettre à jour WordPress vers la version 5.7.2
Quelles versions de WordPress sont affectées par cette vulnérabilité critique? En fait, le problème de sécurité affecterait les versions de WordPress entre 3.7 et 5.7. Heureusement, toutes les versions de WordPress depuis 3.7 ont été mis à jour pour corriger l'injection d'objets dans la vulnérabilité PHPMailer.
Tous les sites configurés pour télécharger automatiquement les mises à jour disponibles doivent être à jour maintenant. Dans un tel cas, les éditeurs ne sont pas tenus de prendre des mesures supplémentaires. Encore, tous les éditeurs sont encouragés à vérifier la version de WordPress qu'ils utilisent et à s'assurer que leurs sites sont mis à jour à la version 5.7.2.
Les propriétaires de sites pourraient également mettre à jour vers WordPress 5.7.2 manuellement en téléchargeant le correctif depuis WordPress.org, ou visiter le WordPress Tableau de bord, sélection Mises à jour, et en cliquant Mettre à jour maintenant.
gergana Ivanova
Écrivain très motivé avec 5+ années d'expérience dans la rédaction de ransomwares, les logiciels malveillants, adware, PUP, et autres problèmes liés à la cybersécurité. En tant qu'écrivain, Je m'efforce de créer du contenu basé sur une recherche technique approfondie. Je trouve de la joie dans le processus de création d'articles faciles à comprendre, informatif, et utile. Suis moi sur Twitter (@IRGergana) pour les dernières nouvelles dans le domaine de l'informatique, mobile, et sécurité en ligne.
Suivez-moi: