WordPress 4.7.5 a été publié aujourd’hui avec des corrections sur six problèmes de sécurité. Si vous gérez plusieurs sites, vous pouvez avoir vu des notifications de mise à jour automatique débarquer sur vos adresses email. La version de sécurité est pour toutes les versions précédentes et WordPress recommande une mise à jour immédiate. Les sites ayant des versions inférieures 3,7, vous devrez faire une mise à jour manuelle.

Les vulnérabilités corrigées sur la version 4.7.5 ont été divulguées de manière responsable à l’équipe de sécurité WordPress par cinq équipes différentes créditées dans la publication. Ceux-ci incluent ce qui suit:

  • Validation de redirection insuffisante dans la classe HTTP
  • Manipulation incorrecte des valeurs de méta-données post dans l’API XML-RPC
  • Le manque de vérification des capacités pour les méta-données postérieures dans l’API XML-RPC
  • Une vulnérabilité Cross Site Request Forgery (CRSF) a été découverte dans la boîte de dialogue des informations d’identification du système de fichiers
  • Une vulnérabilité de scripting (XSS) entre sites a été découverte lors de la tentative de téléchargement de fichiers très volumineux
  • Une vulnérabilité de scripting (XSS) entre sites a été découverte en relation avec le « Customizer »

Plusieurs des rapports de vulnérabilité proviennent de chercheurs de sécurité sur « HackerOne ». Dans une interview récente avec HackerOne, le responsable de l’équipe de sécurité de WordPress , Aaron Campbell, a déclaré que l’équipe a connu une augmentation des rapports depuis le lancement public de son programme de primes de bogues .

« L’augmentation du volume de rapports a été drastique comme prévu, mais notre équipe n’a vraiment pas eu à traiter des rapports invalides avant de rendre le programme public« , a déclaré Campbell. « La dynamique du système Hacker Reputation est vraiment entré en jeu pour la première fois, et il était vraiment intéressant de comprendre comment travailler au mieux ».

Si WordPress continue de maintenir le même volume de rapports sur son nouveau compte HackerOne, les utilisateurs peuvent voir des versions de sécurité plus fréquentes à l’avenir.

WordPress 4.7.5 comprend également une poignée de corrections de maintenance. Consultez la liste complète des modifications pour plus de détails.

Pin It on Pinterest