Pseudo Mot de passe



A la Une > Securite

WordPress : découverte d'une faille

TOP-LOGICIEL | La rédaction | 29/5/2007 19:22:33



COMMENTEZ     ENVOYEZ    Format imprimableIMPRIMEZ    Partagez cet article sur vos réseaux sociauxPARTAGEZ    Créer un fichier PDF à partir de cet articleEXPORTEZ
 
Securite

PsychoGun, un informaticien français, a découvert une nouvelle vulnérabilité dans Wordpress, un blog populaire écrit en PHP.

Cette vulnérabilité de type Xss permet de prendre possession du serveur et de la base de données.

Wordpress permet aux utilisateurs et au propriétaire de poster des commentaires à la suite d’articles que des rédacteurs produisent. Or, l’administrateur du blog peut mettre du code javascript dans ses commentaires ainsi que quand ses articles; le problème se pose dans le fait que l’application ne vérifie pas convenablement la provenance de certaines données qui lui sont envoyées. Ainsi il est facile de faire poster au webmaster un commentaire comportant du javascript en l’invitant à visiter une page web comportant du code malveillant.

Seul l’administrateur du blog peut placer du code javascript dans ses commentaires mais le problème vient du fait que les données envoyées aux blog ne sont pas correctement vérifiées. Ainsi en incitant l’administrateur à cliquer sur un lien malveillant il est possible de lui faire poster, sans qu’il ne se rende compte de rien, un commentaire contenant du code javascript.

Les versions affectées par cette faille sont : 2.1.3 et versions antérieures / 2.0.10 et versions antérieures / 2.2 et versions antérieures. Évidemment, la prudence est de mise : ne surfez pas sur d'autres sites au sujet desquels vous n'êtes pas sûrs qu'ils sont dignes de confiance lorsque vous êtes connectés sur votre compte admin.

Source : Ar3av | Zataz


Note: 0.00 (0 votes) - Noter cet article


WordPress : découverte d'une faille en recherche sur Top-logiciel
Diffusez cet article sur votre blog/site avec nos outils !
Retrouvez les Articles du même auteur

A lire aussi

  • Les Anonymous attaquent le site de la CIA
  • Android 4.0 bientôt pour le Samsung Galaxy S2 ?
  • Google Chrome, maintenant sur votre Android !
  • iPad 3 : bientôt chez vous !
  • Twitter censuré au Brésil
  • Bricolez et décorez moins cher avec Cdecomania
  • Possible augmentation de 23% des malwares en 2012
  • Samsung a vendu plus de smartphones que Apple en 2011
  • Torrent BTJunkie : point final aujourd'hui
  • Les pirates Informatique utilisent de faux amis pour mieux s'intégrer à Facebook
  • Le site de l'Elysee attaqué par Les Anonymous
  • Megaupload fermé : où télécharger maintenant ?
  • Du changement chez Yahoo!
  • Plant-pommesdeterre.fr : le site leader de vente en ligne de plants et semences de pommes de terre
  • Free Mobile est arrivé ! Faut-il vraiment changer ?

 
Souhaitez-vous réagir à cet article ? Pour pouvoir poster un commentaire, enregistrez-vous !
Auteur Conversation
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.