Une nouvelle version de Wordpress a été publiée, qui corrige quatre vulnérabilités, dont trois sont jugées de haute importance.

Tous les problèmes ont des conditions préalables à leur exploitation, et la plupart des sites WordPress qui utilisent le paramètre par défaut des mises à jour automatiques du noyau ne sont pas en danger.

Cependant, les sites utilisant WordPress 5.8.2 ou plus anciens, avec des systèmes de fichiers en lecture seule et ayant désactivé les mises à jour automatiques du noyau dans wp-config.php, pourraient être vulnérables aux attaques basées sur les failles identifiées.

Les quatre failles corrigées sont les suivantes :

• CVE-2022-21661 : Injection SQL de haute gravité (score CVSS 8.0) via WP_Query. Cette faille est exploitable via les plugins et les thèmes qui utilisent WP-Query.
• CVE-2022-21662 : Vulnérabilité XSS de haute sévérité (score CVSS 8.0) permettant aux auteurs (utilisateurs à privilèges inférieurs) d'ajouter une porte dérobée malveillante ou de prendre le contrôle d'un site en abusant des limes d'articles.
• CVE-2022-21664 : Injection SQL de haute gravité (score CVSS 7.4) via la classe principale WP_Meta_Query.
• CVE-2022-21663 : Problème d'injection d'objet de gravité moyenne (score CVSS 6.6) qui ne peut être exploité que si un acteur menaçant a compromis le compte administrateur.

Il est recommandé à tous les propriétaires de sites WordPress de passer à la version 5.8.3, de revoir la configuration de leur pare-feu et de s'assurer que les mises à jour du noyau de WP sont activées.

Ce paramètre peut être vu sur le paramètre "define" dans wp-config.php, qui devrait être "define('WP_AUTO_UPDATE_CORE', true ) ; "