WordPress est un système de gestion de contenu très populaire sur internet. En effet, en 2021, WordPress représentait environ 40% des sites disponibles sur internet.
Cette mise à jour de sécurité postée le 6 janvier adresse 4 vulnérabilités dont 3 évaluées comme importantes. S'agissant d'une mise à jour de sécurité, tous les systèmes WordPress compris entre les version 3.7 et 5.3 doivent appliquer cette mise à jour le plus rapidement possible.
Pour mettre à jour, télécharger la dernière version depuis WordPress.org ou sur votre 'Tableau de Bord' (WordPress) puis 'Mises à jour' et cliquer sur 'Mettre à jour maintenant'. Si votre site est configuré pour se mettre à jour automatiquement, il est probable que la mise à jour soit déjà installée.
Les vulnérabilités sont les suivantes :
• CVE-2022-21661 : Haute sévérité, CVSS score 8.0, Type : SQL injection
• CVE-2022-21662 : Haute sévérité, CVSS score 8.0, Type : XSS vulnerability
• CVE-2022-21664 : Haute sévérité, CVSS score 7.4, Type : SQL injection
• CVE-2022-21663 : Sévérité medium, CVSS score 6.6, Type : object injection issue
Il n'y a actuellement pas d'informations sur l'exploitation de ces vulnérabilités par des groupes d'attaquants connus. Néanmoins, la mise à jour vers la version 5.8.3
est fortement recommandée.
Il est intéressant de noter que l'apparition des mises à jour automatiques sous WordPress est apparue en 2013 avec la version 3.7 et que
seulement 0,7% de tous les sites WordPress fonctionnenent avec une version antérieure à WordPress 3.7 (selon les statistiques officielles de WordPress).
(Source : WordPress)
Thomas Rigaux
Ingénieur en cybersécurité et auteur de Thomasrgx.com