4shared

Faille de sécurité wordpress xss

By  |  1 Comment

Plugins multiples WordPress sont vulnérables à une Faille de sécurité wordpress xss cross-site scripting attacks (XSS) en raison de l’utilisation abusive de la add_query_arg () et remove_query_arg (fonctions). Ce sont des fonctions populaires utilisés par les développeurs pour modifier et ajouter des chaînes de requête pour les URL au sein de WordPress.

Faille De Sécurité Wordpress Xss

La documentation officielle de WordPress officielle (Codex) pour ces fonctions ne était pas très clair et induit en erreur de nombreux développeurs de plugins à les utiliser d’une manière précaire. Les développeurs ont supposé que ces fonctions seraient échapper à la saisie de l’utilisateur pour eux, quand il ne fait pas. Ce simple détail, a causé beaucoup de plugins les plus populaires d’être vulnérable à XSS.

Faille De Sécurité Wordpress Xss

À ce jour, ce est la liste des plugins touchés:

Faille De Sécurité Wordpress Xss

Cinq plugins optant pour des mises à jour forcées

 

Faille De Sécurité Wordpress Xss

Faille De Sécurité Wordpress Xss

faille-xss-wordpress

Jetpack, faciles téléchargements numériques, P3 Plugin Profiler, Moniteur de téléchargement, et les messages connexes pour WordPress sont tous optent pour des mises à jour forcées automatisés de WordPress.org. Cela signifie que ces plugins ont créé de nouvelles versions pour chaque branche majeure de leurs plugins pour être distribué et automatiquement mis à jour par l’équipe WordPress.org.

Autres plugins ne sont pas dans optent. Notamment, Yoast n’a pas opté in pour WordPress SEO ou de leur plug-in Google Analytics. Joost de Valk cite préoccupations que certains propriétaires de sites ont eu leurs plugins désactivés lors du dernier processus de mise à niveau forcée qu’ils ont vécu.

En effet, mon propre site a eu plugins désactiver quand ils sont forcés à jour chaque fois qu’il est survenu. Je ai pris cette question aux membres de l’équipe de mise à jour WordPress.org, et on m’a dit qu’ils croient que ce est un cas de survenance bord, et que pendant qu’ils surveillent de nouvelles mises à jour, il ne est pas actuellement un plan visant à modifier les pratiques pour les mises à jour. Je serai très intéressé avec les mises à jour aujourd’hui comment cela se produit couramment.

UNE FAILLE DE SÉCURITÉ XSS AFFECTE DE NOMBREUX PLUGINS WORDPRESS

Il ya probablement un peu plus que nous ne avons pas la liste. Si vous utilisez WordPress, nous recommandons fortement que vous allez à votre wp-admin tableau de bord et faire toute les mise à jour des plugins maintenant.

Cette question a d’abord été identifié par Joost de Yoast dans un de ses plugins (il a fait un excellent écriture jusqu’à parler ainsi). Nous avons travaillé ensemble avec lui pour étudier la question et constaté que probable affecté beaucoup plus de plugins que juste celui-là.

Notre équipe de recherche, avec quelques amis (surtout Joost de Yoast) ont été en passant par le référentiel WordPress pour les quelques derniers jours dans une tentative de trouver et de mettre en garde que de nombreux développeurs de plugins que possible – d’avertir et de les aider à corriger le problème.

Mise à jour !

Si vous utilisez un de ces plugins, assurez-vous de les mettre à jour maintenant! Nous allons continuer à enquêter et chercher d’autres plugins vulnérables et de garder notre liste ici actuelle.
Ce est aussi un bon moment pour rappeler à tous que tous les logiciels aura des bugs et certains de ces bugs va inévitablement conduire à des vulnérabilités de sécurité, telle est la vie que nous vivons. Cela se applique aux plugins, thèmes, les serveurs Web, CMS’S et essentiellement tout ce qui est écrite par les gens et basé sur le code. Autant que les développeurs tentent de les minimiser et déployer principes de codage sécurisé, erreurs seront inévitablement encore arriver. Nous devons juste être préparé et trouver des moyens pour réduire au minimum l’incidence de toute vulnérabilité dans votre environnement; un parfait exemple d’une telle approche est ce que vous voyez aujourd’hui avec cette version de coordonnées.

Millions de sites Web affectés

XSS Vulnerability - Faille De Sécurité Wordpress Xss

Millions de sites Web sont vulnérables en raison de ce problème. Jetpack et Yoast WordPress SEO seuls sont actifs sur plus d’un million de sites.
Sucuri a identifié un minimum de quinze plugins touchés, ils ont seulement regardé dans le top « 300-400″ et d’autres qui étaient notable.
Selon toute vraisemblance, beaucoup plus de plugins que ceux énumérés auront vulnérabilités similaires. add_query_arg () et remove_query_arg () sont des fonctions relativement communs dans le développement de WordPress avancée.

 

1 Comment

  1. Isabella

    30 avril 2016 at 12 h 07 min

    Hey! This is my first visit to your blog! We are a collection of volunteers and starting anew initiative in a community in the same niche. Your blog provided us useful inifamrtoon towork on. You have done a outstanding job!

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>