faille critique jetpack
Certains sites WordPress vont recevoir une mise à jour automatique afin de corriger en urgence une faille de sécurité ! Celle-ci se situe dans une extension ultra populaire : Jetpack.
Pour les sites WordPress, l’extension Jetpack est un véritable couteau suisse puisqu’elle apporte des fonctionnalités diverses et variées, que ce soit pour améliorer les performances du site ou renforcer la sécurité. L’extension Jetpack compte plus de 5 millions d’installations actives alors forcément quand il y a une faille de sécurité critique, la situation est tendue. Derrière cette extension, on retrouve l’éditeur Automattic qui est lui-même derrière WordPress.
La faille de sécurité découverte dans Jetpack est présente dans l’extension depuis 2012, comme le précise Jeremy Herve de chez Automattic : « Lors d’un audit de sécurité interne, nous avons trouvé une vulnérabilité dans l’API disponible dans Jetpack depuis la version 2.0, publiée en 2012. » – Pour le moment, il n’y a que très peu de détails publics donnés sur cette vulnérabilité : « Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation WordPress. »
Les développeurs ont mis en ligne 102 nouvelles versions de Jetpack pour corriger cette vulnérabilité. En fait, ils ont mis en ligne un correctif de sécurité pour de très nombreuses versions vulnérables, ce qui donne ce total. Toutefois, sur votre site il n’y a bien qu’un seul patch à faire passer : ce qui permet de se protéger de cette vulnérabilité sans pour autant changer de version majeure du plugin.
Grâce au processus de mise à jour automatique, l’extension a déjà été mise à jour sur plus de 4 millions de sites en quelques heures. Mais si vous utilisez Jetpack, vérifiez l’état de l’extension par vous-même et effectuez la mise à jour si besoin. La liste des versions où la faille est corrigée est disponible dans le bulletin de sécurité de Jetpack (lien ci-dessus).
Pour le moment, cette faille de sécurité ne serait pas exploitée dans le cadre d’attaques. Toutefois, maintenant qu’elle est connue, la situation pourrait évoluer, alors patchez ! 🙂
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.