Faille de sécurité plugin WordPress

07.07.2014 | Réseau Dumac
1506 visiteurs  -  Aucun commentaire

Le célèbre plugin de Newsletter pour WordPress WYSIJA, aussi connu sous le nom de MailPoet (disponible gratuitement sur https://wordpress.org/plugins/wysija-newsletters/) vient de subir une ré-écriture de son code source, suite à la détection d’une faille critique de sécurité.

Cette faille reposait sur la possibilité d’avoir accès aux fichiers PHP de tout site WordPress utilisant ce plugin MailPoet, à cause de l’utilisation d’une méthode de vérification des droits d’accès insuffisante : admin_init() et/ou is_admin(), alors qu’il faudrait à minima faire appel à current_user_can( ’upload_files’ )

Bref. La version 2.6.8 dernièrement mise en ligne le 04.07.2014 est désormais corrigée.

Téléchargez-la et installez-là dès que possible. Sans quoi votre site héberge peut-être déjà toutes sortes de portes permettant à des pirates d’utiliser votre site pour toute action répréhensible...

Source (en anglais) : Sucuri http://blog.sucuri.net/2014/07/remote-file-upload-vulnerability-on-mailpoet-wysija-newsletters.html

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 18 visiteurs par jour (110064 au total)

Haut de page | XHTML 1.0 | CSS 2