Certains sites WordPress vont recevoir une mise à jour automatique afin de corriger en urgence une faille de sécurité ! Celle-ci se situe dans une extension ultra populaire : Jetpack.
Pour les sites WordPress, l’extension Jetpack est un véritable couteau suisse puisqu’elle apporte des fonctionnalités diverses et variées, que ce soit pour améliorer les performances du site ou renforcer la sécurité. L’extension Jetpack compte plus de 5 millions d’installations actives alors forcément quand il y a une faille de sécurité critique, la situation est tendue. Derrière cette extension, on retrouve l’éditeur Automattic qui est lui-même derrière WordPress.
La faille de sécurité découverte dans Jetpack est présente dans l’extension depuis 2012, comme le précise Jeremy Herve de chez Automattic : « Lors d’un audit de sécurité interne, nous avons trouvé une vulnérabilité dans l’API disponible dans Jetpack depuis la version 2.0, publiée en 2012. » – Pour le moment, il n’y a que très peu de détails publics donnés sur cette vulnérabilité : « Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation WordPress. »
Les développeurs ont mis en ligne 102 nouvelles versions de Jetpack pour corriger cette vulnérabilité. En fait, ils ont mis en ligne un correctif de sécurité pour de très nombreuses versions vulnérables, ce qui donne ce total. Toutefois, sur votre site il n’y a bien qu’un seul patch à faire passer : ce qui permet de se protéger de cette vulnérabilité sans pour autant changer de version majeure du plugin.
Grâce au processus de mise à jour automatique, l’extension a déjà été mise à jour sur plus de 4 millions de sites en quelques heures. Mais si vous utilisez Jetpack, vérifiez l’état de l’extension par vous-même et effectuez la mise à jour si besoin. La liste des versions où la faille est corrigée est disponible dans le bulletin de sécurité de Jetpack (lien ci-dessus).
Pour le moment, cette faille de sécurité ne serait pas exploitée dans le cadre d’attaques. Toutefois, maintenant qu’elle est connue, la situation pourrait évoluer, alors patchez ! 🙂