Jessica Haworth

27 avril 2021 à 15:01 UTC

Mis à jour: 27 avril 2021 à 15 h 06 UTC

Les chercheurs fournissent des détails techniques sur les bogues qui ont été corrigés dans la dernière version de sécurité

La vulnérabilité WordPress XXE Injection permet aux attaquants de voler à distance des fichiers hôtes

Une erreur d’injection d’entité externe XML (XXE) s’est produite WordPress Les chercheurs peuvent constater que les attaquants peuvent voler à distance les fichiers d’une victime.

Chercheurs en sécurité SonarSource qui ont découvert la vulnérabilité publiée un article de blog Aujourd’hui (27 avril) des détails techniques sur le bogue maintenant corrigé seront disponibles.

Découvrez les dernières actualités sur les vulnérabilités de WordPress

UNE Vulnérabilité XXE Permet à un attaquant de perturber le traitement des données XML par une application. Cela leur permet d’afficher les fichiers sur le système de fichiers du serveur d’applications et d’interagir avec tout système dorsal ou externe auquel l’application elle-même peut accéder.

Dans ce cas, le bogue XXE était présent dans les versions 5.7 et inférieures de WordPress et pourrait permettre la divulgation arbitraire de fichiers à distance falsification de demande côté serveur ((SSRF).

Restrictions

Le billet de blog souligne que ce problème ne se produit que sur les systèmes exécutant des installations WordPress affectées sous PHP 8.

De plus, les autorisations pour télécharger des fichiers multimédias sont nécessaires », ont déclaré les chercheurs de SonarSource dans le billet de blog.

CONTINUER LA LECTURE WordPress 5.7 offre une fonctionnalité de mise à niveau de site HTTP vers HTTPS en un clic

«Avec une installation WordPress standard, cela signifie que vous avez les droits d’auteur. Cependant, lorsqu’il est combiné avec une autre vulnérabilité ou un plugin qui permet aux visiteurs de télécharger des fichiers multimédias, il pourrait être exploité avec des autorisations moindres. « 

Les chercheurs ont révélé la vulnérabilité à l’équipe de sécurité de WordPress, qu’ils avaient corrigée dans la dernière version (5.7.1) et attribué CVE-2021-29447.

réparer

WordPress, le logiciel de gestion de contenu le plus populaire au monde, prend en charge environ 40% de tous les sites Web utilisés, ce qui en fait une cible claire pour les acteurs malveillants.

Heureusement, grâce au travail de sécurité en cours, les mainteneurs du framework open source CMS De nombreux sites Web exécutant WordPress sont maintenant mis à jour automatiquement.

Les administrateurs Web qui n’ont pas cette fonctionnalité activée peuvent mettre à jour via leur tableau de bord d’administration WordPress.

TU POURRAIS AUSSI AIMER Vulnérabilités dans WordPress: 800000 sites Web exécutant le plugin NextGen Gallery peuvent être vulnérables à Pwnage



Source link

Recent Posts