Aujourd'hui 30 janvier 2024, WordPress version publiée 6.4.3qui contient deux correctifs de sécurité pour des problèmes de sécurité de longue date, quoique mineurs, dans WordPress Core.

Le premier patch résout un problème qui permet aux utilisateurs disposant des privilèges d'administrateur (ou de super-administrateur sur multisite) de télécharger des fichiers PHP directement sur un site via le mécanisme de téléchargement de fichiers de plugin et de thème. Il s'agit uniquement d'un problème dans les configurations fortement verrouillées qui empêchent les administrateurs et les super-administrateurs d'installer des plugins et des thèmes via un mécanisme distinct. Wordfence a suivi cela comme un alerte de sécurité informationnelle de faible priorité depuis août 2023, bien qu'il soit public depuis août 2018.

Le deuxième patch traite de la façon dont les options sont stockées – il les nettoie d'abord avant de vérifier le type de données de l'option – les tableaux et les objets sont sérialisés, ainsi que les données déjà sérialisées, qui sont à nouveau sérialisées. Bien que cela se produise déjà lors de la mise à jour des options, cela n’a pas été effectué lors de l’installation, de l’initialisation ou de la mise à niveau du site. Selon la publication de la version 6.4.3, cela vise à résoudre un problème potentiel d'injection d'objet PHP.

Les deux problèmes semblent nécessiter qu’un utilisateur hautement privilégié ou un attaquant tombe sur un site avec une installation incomplète à exploiter, et sont susceptibles d’avoir un impact sur peu de sites WordPress dans le monde réel.

Les deux correctifs ont été rétroportés vers la version 4.1 et ultérieure de WordPress.

Conclusion

Les correctifs de sécurité WordPress 6.4.3 ont résolu deux problèmes mineurs dans le noyau de WordPress et peuvent principalement être considérés comme un renforcement accru, car les circonstances dans lesquelles ils sont susceptibles d'avoir un impact sur la sécurité sont incroyablement rares. Néanmoins, nous recommandons la mise à jour dans un délai raisonnable, surtout si votre site repose sur une configuration renforcée en raison des exigences réglementaires.


Source link