Les versions 5.2.3 et antérieures de WordPress sont affectées par des bugs qui ont été corrigés dans la version 5.2.4. Des versions mises à jour de WordPress 5.1 et versions antérieures sont également disponibles pour les utilisateurs qui n'ont pas encore mis à jour leur version 5.2.
Les bugs de sécurité trouvés sont les suivantes:
- Le XSS (script intersite) stocké pourrait être ajouté via le Customizer.
- Une méthode de visualisation de messages non authentifiés.
- Un moyen pour créer un XSS stocké pour injecter du Javascript dans les balises de style.
- Une méthode d’empoisonnement du cache des requêtes JSON GET via l’en-tête Vary: Origin.
- Une falsification de requête côté serveur dans la manière dont les URL sont validées.
- Des problèmes liés à la validation des référents dans l'espace administrateur.
"Plusieurs vulnérabilités ont été corrigées dans WordPress. L’exploitation de ces vulnérabilités peut permettre à un attaquant d’exécuter du code arbitraire à distance et de porter atteinte à l'intégrité des données". - Direction Générale de la Sécurité des Systèmes d’Information, Centre de Veille de Détection et de Réaction aux Attaques Informatiques
Nous recommandons à tous nos clients, de mettre à jour leurs sites web WordPress vers la dernière version 5.2.4. Nous vous recommandons ainsi de mettre à jour tous vos plugins, vos thèmes, et vos traductions.
