La version 6.0.3 de WordPress a commencé à être diffusée cette semaine. La dernière version de sécurité corrige 16 vulnérabilités. Quatre d'entre elles ont une note de gravité élevée, et les autres ont une gravité moyenne ou faible.

L'entreprise de sécurité WordPress Defiant corrige neuf vulnérabilités de script intersite XSS stockées et réfléchies, ainsi que des failles de redirection ouverte, d'exposition de données, de cross-site request forgery (CSRF) et d'injection SQL.

L'une des vulnérabilités XSS stocké est de haute gravité, elle peut être exploité par un utilisateur qui peut soumettre des messages à un site Web par courrier électronique pour injecter du code JavaScript malveillant dans les messages. Le code est exécuté lorsque le message malveillant est consulté.

Une autre faille de haute gravité est un XSS réfléchi qui peut être exploité pour une exécution de code arbitraire par un attaquant non authentifié via une requête de recherche spécialement conçue dans la bibliothèque de médias. L'exploitation nécessite une interaction avec l'utilisateur et la création d'une charge utile n'est pas facile, mais Defiant pense qu'il pourrait s'agir de la vulnérabilité la plus exploitable de cette version, car l'attaquant n'a pas besoin d'être authentifié.

Le troisième problème de haute gravité est une injection SQL qui pourrait être exploitée par un plugin ou un thème tiers - le noyau de WordPress lui-même n'est pas affecté.

Le dernier problème grave est un bug CSRF qui peut être exploité par un attaquant non authentifié pour déclencher un trackback au nom d'un utilisateur légitime, mais l'ingénierie sociale est nécessaire pour une exploitation réussie.

Les sites Web WordPress qui prennent en charge les mises à jour automatiques en arrière-plan seront corrigés automatiquement. La prochaine version majeure est la version 6.1, prévue pour le 1er novembre.

Selon le Website Threat Research Report de Sucuri pour 2021, les sites Web WordPress représentaient plus de 95 % des infections de CMS, et environ un tiers des sites sur lesquels la société de cybersécurité a détecté un écrémeur de cartes de crédit utilisaient WordPress.