Pour gérer vos consentements :
Categories: Sécurité

WordPress victime d’une faille «zero day»

Les utilisateurs de WordPress vont-ils tomber dans la paranoïa? L’un d’entre eux vient de découvrir une faille « zero-day » dans l’une des composantes de nombreux thèmes utilisés par plusieurs dizaines de millions de blogs et de sites conçus à partir du célèbre CMS. Pas moins de 50 millions de sites web et blog sont construit à partir de la plate-forme open source.

Selon le moteur de recherche Google, près de 40 millions d’installations WordPress utiliseraient un thème, commercial ou gratuit, qui intégrerait un script PHP dénommé timthumb. C’est ce dernier qui pose un grave problème de sécurité. Censé redimensionner des images en local ou depuis des sites externes, il ne contrôle qu’aléatoirement les accès à certains dossiers privés, rapporte ITespresso.fr.

En découle une mauvaise gestion des droits d’écriture, ouvrant la voie à l’exécution malicieuse de code tiers. Les pirates n’ont qu’à installer et lancer des scripts dans le répertoire de cache de timthumb.php. Une solution suggérée par le site MarkmanUnder désactive la faille, mais il devient impossible de procéder au redimensionnement d’images depuis des domaines externes. Il apparaît toutefois que la plupart des utilisateurs de WordPress n’utilisent cet outil qu’en local.

Pour qui souhaite conserver ces fonctionnalités, il convient de régler à « empty » (vide, c’est-à-dire aucune valeur) le paramètre $allowedsites.

Crédit photo : © nali – Fotolia.com

Recent Posts

Ces 15 certifications IT qui rapportent

Les certifications cloud et cybersécurité sont celles pour lesquelles les recruteurs sont prêts à payer…

1 heure ago

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

6 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

7 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

9 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

11 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

1 jour ago