Mise à jour de sécurité WordPress

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 01 nov. 2017 18:30

Une mise à jour de sécurité pour WordPress a été publiée le 31/10/2017 :

https://wordpress.org/news/2017/10/word ... y-release/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 30 nov. 2017 20:07

Une mise à jour de sécurité pour Wordress a été publiée le 29/11/2017 :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-438/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 20 déc. 2017 07:58

Une vulnérabilité pour le plugin WP Statistics révélée au mois de juin serait de plus en plus exploitée. Elle permet de réaliser de l'injection SQL sur le site.
Si vous êtes en version inférieure à la 12.0.8, il est vivement conseillé de patcher.
Au moment où cette faille a été révélée, 300 000 sites étaient vulnérables.

https://blog.sucuri.net/2017/06/sql-inj ... stics.html

https://wordpress.org/plugins/wp-statistics/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 18 janv. 2018 08:04

Une mise à jour de sécurité pour WordPress a été publiée le 16/01/2018 :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-034/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 10 avr. 2018 08:19

Une mise à jour de sécurité pour Wordpress a été publiée le 03/04/2018 :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-167/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 07 juil. 2018 08:35

Une mise à jour de sécurité pour Wordpress a été publiée le 05/07/2018 :

https://wordpress.org/news/2018/07/word ... e-release/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 18 déc. 2018 01:06

Le 13/12/2018, quelques jours après la publication de la version 5.0 de WordPress, une importante mise à jour de sécurité a été publiée :

https://wordpress.org/news/2018/12/word ... y-release/

Cette mise à jour de sécurité corrige plusieurs vulnérabilités, dont une permettant aux moteurs de recherches d'indexer la page d'activation des utilisateurs et par conséquent, l'adresse de messagerie et dans certaines configurations le mot de passe généré automatiquement pour l'ensemble des utilisateurs. Trois vulnérabilités XSS ont également été corrigées.

D'après l'article publié par Wordfence, l'ensemble des versions 4.X sont également vulnérables et le passage en 4.9.9 est impératif.

https://www.wordfence.com/blog/2018/12/ ... commended/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 21 févr. 2019 09:37

Le chercheur Simon Scannel revient en détails sur des vulnérabilités présentes dans Wordpress, permettant d'exécuter du code arbitraire en PHP et prendre le contrôle du CMS pour un utilisateur ayant un simple compte auteur.

La première vulnérabilité de type "porte d'entrée" reposant sur la gestion des entrées post meta lors de l'upload d'images est corrigée à partir des versions 5.0.1 et 4.9.9, ce qui empêche nativement un utilisateur disposant d'un compte auteur d'exécuter du code, en revanche, la vulnérabilité "de fond", dite "path traversal", est en revanche toujours présente, et l'utilisation d'un plugin tiers ne gérant pas correctement les entrées post meta lors de l'upload d'une image pourrait permettre d'exploiter cette vulnérabilité.

Si vous voulez en savoir plus : https://blog.ripstech.com/2019/wordpres ... execution/

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 14 mars 2019 07:28

Une mise à jour de sécurité pour Wordpress a été publiée le 12/03/2019 :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-100/

Elle permet de corriger une importante vulnérabilité de type XSS.

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité WordPress

Message par charles » 22 mars 2019 08:44

Le très répandu module additionnel de partage sur les réseaux sociaux "Social Warfare" a été retiré pendant quelques heures le 21/03/2019 de la liste des plugins téléchargeables sur le site de officiel Wordpress suite à la découverte d'une importante vulnérabilité permettant aux attaquants d'injecter du code JavaScript malveillant dans les liens de partage vers les réseaux sociaux, présents sur les publications d'un site.

https://www.wordfence.com/blog/2019/03/ ... -the-wild/

La version 3.5.2 est vulnérable, si vous disposez de ce plugin, upgradez rapidement vers la version 3.5.3 :

https://wordpress.org/plugins/social-wa ... escription

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »