L'équipe de développement de WordPress vient de publier, en la personne de WordPress 4.1.2, une mise à jour très importante pour la sécurité. L'équipe a indiqué : "les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site". En ce qui concerne ce problème de Cross-Site Scripting, il apparaît qu'un défaut dans la documentation, qualifiée d'ambigüe, fait que les développeurs de plugin utilisent de manière inappropriées les fonctions add_query_arg() et remove_query_arg() ce qui permet à des attaquants d'injecter du contenu malveillant dans des pages.

Cependant d'autres vulnérabilités graves se cachaient dans le CMS. Depuis la version 4.1, était apparu la possibilité d'uploader des fichiers avec des noms invalides ou pouvant nuire à la sécurité. De plus, un certain nombres d'extensions étaient vulnérables à une injection SQL par Cross-Site Request Forgery. Il est donc très important de mettre en jour votre WordPress.

En ce qui concerne la vulnérabilité XXS mentionnée plus haut, de nombreux plugins sont concernés. Dont les très populaires WordPress SEO et WP Touch, que vous utilisez probablement si vous avez des sites sous WordPress. Ne tardez pas à faire vos mises à jour.