Si vous disposez d'un site Web animé par WordPress, il y a de fortes chances pour que vous utilisiez également ce plugin très populaire, dont les créateurs viennent tout juste de combler une faille de sécurité critique (qui remonte à 2016).
WordPress, c'est ce CMS leader du Web, qui anime plus de 40 % des sites internet. Il se distingue par sa simplicité d'utilisation, ses fonctionnalités avancées et ses nombreux plugins développés par une communauté très active. Un « website builder » qui est toutefois fréquemment visé par des piratages et autres attaques en tout genre, sans compter ses plugins qui peuvent eux aussi afficher parfois quelques faiblesses.
Une faille de sécurité critique pour Jetpack
C'est le cas aujourd'hui avec un certain Jetpack, soit l'un des plugins les plus populaires sur WordPress. Les développeurs ont en effet découvert une faille de sécurité critique, corrigée avec l'arrivée de la dernière mise à jour 13.9.1. À la suite d'un audit terne, il a été confirmé que cette faille est présente (dans le Contact Form) sur de nombreuses versions du plugin.
Aussi, les équipes de Jetpack annoncent avoir travaillé en étroite collaboration avec l'équipe de sécurité de WordPress.org pour publier des versions corrigées de chaque version concernée.
Du côté de chez Jetpack, on indique n'avoir aucune preuve que cette vulnérabilité ait pu d'ores et déjà être exploitée. Toutefois, maintenant que cette dernière a été mise en lumière, il est possible que quelqu'un essaie de tirer parti de cette faille de sécurité.
Pas moins de 101 mises à jour déployées !
Aussi, et afin de venir à bout de cette vulnérabilité présente au sein de Jetpack depuis la version 3.9.9 lancée en 2016, les développeurs ont déployé pas moins de 101 nouvelles versions du célèbre plugin.
Les mises à jour actuellement déployées sont les suivantes : 13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7 et 3.9.10.
« Si votre site utilise l'une de ces versions, il n'est plus vulnérable à ce problème, car il a été automatiquement mis à jour vers une version sécurisée », rassurent les développeurs de JetPack.
« Nous nous excusons pour la charge de travail supplémentaire que cela peut représenter pour vous aujourd'hui. Nous continuerons à vérifier régulièrement tous les aspects de notre base de code pour nous assurer que votre site Jetpack reste sûr. »
À vos mises à jour !
- moodVersion d'essai disponible
- settingsHébergé / pré-installé
- storage1 Go à 200 Go de stockage
- extensionPlugins disponibles
- format_paintThemes disponibles
- shopping_bagAdapté aux sites e-commerce
Source : The Hacker News