WordPress découvre une vulnérabilité XSS – recommande la mise à jour vers la version 6.5.2

WordPress a annoncé la mise à jour 6.5.2 de maintenance et de sécurité qui corrige une vulnérabilité de script intersite du magasin et corrige plus d'une douzaine de bogues dans le noyau et l'éditeur de blocs.

La même vulnérabilité affecte à la fois le noyau WordPress et le plugin Gutenberg.

Scripts intersites (XSS)

Une vulnérabilité XSS a été découverte dans WordPress qui pourrait permettre à un attaquant d'injecter des scripts dans un site Web qui attaquerait ensuite les visiteurs de ces pages.

Il existe trois types de vulnérabilités XSS, mais les plus couramment découvertes dans les plugins, les thèmes et WordPress lui-même sont les XSS réfléchis et les XSS stockés.

Reflected XSS oblige la victime à cliquer sur un lien, une étape supplémentaire qui rend ce type d'attaque plus difficile à lancer.

Un XSS stocké est la variante la plus inquiétante car il exploite une faille qui permet à l'attaquant de télécharger un script sur le site vulnérable qui peut ensuite lancer des attaques contre les visiteurs du site. La vulnérabilité découverte dans WordPress est un XSS stocké.

La menace elle-même est atténuée dans une certaine mesure car il s'agit d'un XSS stocké authentifié, ce qui signifie que l'attaquant doit d'abord acquérir au moins des autorisations de niveau contributeur afin d'exploiter la faille du site Web qui rend la vulnérabilité possible.

Cette vulnérabilité est classée comme menace de niveau moyen, recevant un score CVSS (Common Vulnerability Scoring System) de 6,4 sur une échelle de 1 à 10.

Wordfence décrit la vulnérabilité :

« WordPress Core est vulnérable aux scripts intersites stockés via les noms d'affichage des utilisateurs dans le bloc Avatar dans diverses versions jusqu'à 6.5.2 en raison d'une sortie insuffisante d'échappement sur le nom d'affichage. Cela permet aux attaquants authentifiés, avec un accès au niveau contributeur et supérieur, d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.

WordPress.org recommande la mise à jour immédiate

L'annonce officielle de WordPress recommandait aux utilisateurs de mettre à jour leurs installations, en écrivant :

« Comme il s'agit d'une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Des rétroportages sont également disponibles pour d’autres versions majeures de WordPress, 6.1 et versions ultérieures.

Lisez les avis Wordfence :

WordPress Core < 6.5.2 – Scripts intersites stockés authentifiés (Contributeur +) via le bloc Avatar

Gutenberg 12.9.0 – 18.0.0 – Scripts intersites stockés authentifiés (Contributeur+) via le bloc Avatar

Lisez l’annonce officielle de WordPress.org :

Version de maintenance et de sécurité de WordPress 6.5.2