Mauvais temps sur le monde de WordPress en ce moment. Après 2 mises à jour en deux semaines, sous les dénominations WordPress 4.1.2 et WordPress 4.2.1, la dernière comblant une vulnérabilité très critique, voici déjà WordPress 4.2.2 qui vient combler des failles de Cross Site Scripting zero day, ce qui signifie qu'elles ont été exploitées avant d'être découvertes par les experts en sécurité ou les développeurs WordPress.

Ce sont des clients de la société de sécurité Sucuri qui ont mis la puce à l'oreille à celle-ci, qui décrit la vulnérabilité dans un billet de blog.

Il s'agir (encore !) de faille en Cross Site Scripting, ou XSS. La faille est très facile à exploiter. Un exploit permet de modifier le DOM de la page attaquée qui pourra alors contenir, par exemple, un lien vers un site malveillant.

Ce sont surtout deux plugins de WordPress qui sont vulnérables, mais la mise à jour de WordPress 4.2.2 vient empêcher l'exploit des vulnérabilités.

Le problème se situe dans les plugins JetPack et TwentyFifteen, qui tous deux s'appuient sur le package Genericons. JetPack compte un million d'installations actives, quant à TwentyFifteen, c'est le thème de WordPress installé par défaut. C'est dire le nombre de sites potentiellement vulnérables.

Dans le package Genericons, c'est un fichier tout bêtement nommé example.html qui pose problème. Sucuri donne une preuve de concept :

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/ src=1 onerror= alert(1)>

Administrateurs de sites WordPress, appliquez vos mises à jour sans tarder.