Dans un billet la société de sécurité Sucuri met en garde les responsables de sites WordPress contre la présence d'une vulnérabilité XSS dans le très populaire plugin JetPack, utilisé par plus d'un million de sites.

Plus précisément, la vulnérabilité se situe dans le module Shortcode Embeds Jetpack qui permet aux utilisateurs d'intégrer des vidéos externes, des images, des documents, des tweets et d’autres ressources à leur contenu. Si ce module n'est pas utilisé, le site n'est pas vulnérable. Sinon, la faille permet d'injecter du JavaScript malveillant dans les commentaires des contenus.

Une telle injection peut servir à voler des cookies de sessions, dont celui de l'administrateur, rediriger les visiteurs vers des sites hébergeant des contenus malveillants, ou encore injecter du spam SEO.

Toutes les versions de JetPack depuis 2012 sont touchées. Le billet cité plus haut donne d'intéressants détails techniques sur cette vulnérabilité et la manière de l'exploiter.

Les auteurs de JetPack ont déjà publié des correctifs qui devraient être appliqués d'urgence sur les sites dont le mécanisme de mise à jour automatique de WordPress n'est pas activé.