WordPress a publié une mise à jour contenant des correctifs de bogues et des correctifs de sécurité pour résoudre trois vulnérabilités classées comme graves à moyennes.
Les mises à jour peuvent avoir été téléchargées et installées automatiquement, il est donc essentiel de vérifier si le site Web a bien été mis à jour vers la version 6.02 et si tout fonctionne toujours normalement.
Sommaire
Corrections de bogues
La mise à jour contient douze correctifs pour le noyau WordPress et cinq pour l’éditeur de blocs.
Une changement notable est une amélioration du répertoire de modèles, qui est destiné à aider les auteurs de thèmes à ne servir que les modèles liés à leurs thèmes.
L’objectif de ce changement est de le rendre plus attrayant à l’usage des auteurs de thèmes afin qu’ils l’utilisent et de présenter une meilleure expérience utilisateur aux éditeurs.
« De nombreux auteurs de thèmes souhaitent que tous les modèles principaux et distants soient désactivés par défaut à l’aide de remove_theme_support (‘core-block-patterns’). Cela garantit qu’ils ne servent que des modèles pertinents pour leur thème aux clients/clients.
Ce changement rendra le Pattern Directory plus attrayant/utilisable du point de vue de l’auteur du thème.
Trois correctifs de sécurité
La première vulnérabilité est décrite comme une vulnérabilité d’injection SQL de gravité élevée.
Une vulnérabilité d’injection SQL permet à un attaquant d’interroger la base de données qui sous-tend le site Web et d’ajouter, d’afficher, de supprimer ou de modifier des données sensibles.
Selon un rapport de Wordfence, WordPress 6.02 corrige une vulnérabilité d’injection SQL de vulnérabilité élevée, mais la vulnérabilité nécessite des privilèges administratifs pour être exécutée.
Clôture des mots décrit cette vulnérabilité:
« La fonctionnalité WordPress Link, anciennement connue sous le nom de « Signets », n’est plus activée par défaut sur les nouvelles installations WordPress.
Les sites plus anciens peuvent toujours avoir la fonctionnalité activée, ce qui signifie que des millions de sites hérités sont potentiellement vulnérables, même s’ils exécutent des versions plus récentes de WordPress.
Heureusement, nous avons constaté que la vulnérabilité nécessite des privilèges administratifs et est difficile à exploiter dans une configuration par défaut.
Les deuxième et troisième vulnérabilités sont décrites comme Stocked Cross-Site Scripting, dont l’une n’affecterait pas la « grande » majorité des éditeurs WordPress.
Mise à jour de la bibliothèque de dates JavaScript Moment
Une autre vulnérabilité a été corrigée, mais elle ne faisait pas partie du noyau de WordPress. Cette vulnérabilité concerne une bibliothèque de données JavaScript appelée Moment utilisée par WordPress.
La vulnérabilité de la bibliothèque JavaScript a reçu un numéro CVE, et les détails sont disponibles à la base de données nationale sur la vulnérabilité du gouvernement américain. Il est documenté comme un correctif de bogue chez WordPress.
Que faire
La mise à jour devrait se déployer automatiquement sur les sites à partir de la version 3.7.
Il peut être utile de vérifier si le site fonctionne correctement et qu’il n’y a pas de conflits avec le thème actuel et les plugins installés.
Citations
Version de sécurité et de maintenance de WordPress Core 6.0.2 – Ce que vous devez savoir
Image sélectionnée par Shutterstock/Krakenimages.com