Actualité
logo-wordpress

Faille « zero-day » : WordPress rejoint le côté obscur

Un module de redimensionnement d’images inclus dans de nombreux thèmes WordPress hébergerait une faille de sécurité de type « zero-day ». Elle permettrait l’exécution de code tiers et des actions potentielles de piratage.

Le 4 août 2011 par Clément Bohic 2 Commentaires

WordPress se serait-il rangé du côté des pirates ? Un utilisateur pris à son insu vient de découvrir une faille « zero-day » dans l’une des composantes de nombreux thèmes utilisés par plusieurs dizaines de millions de blogs et de sites conçus à partir de ce CMS open source.

Il y a quelques semaines, WordPress.org passait le cap des 50 millions de sites gérés par l’intermédiaire de sa plate-forme de CMS.


Selon le moteur de recherche Google, près de 40 millions d’installations WordPress utiliseraient un thème, commercial ou gratuit, qui intègrerait un script PHP dénommé timthumb.

C’est ce dernier qui pose un grave problème de sécurité. Censé redimensionner des images en local ou depuis des sites externes, il ne contrôle qu’aléatoirement les accès à certains dossiers privés.

En découle une mauvaise gestion des droits d’écriture, ouvrant la voie à l’exécution malicieuse de code tiers. Les pirates n’ont qu’à téléverser et lancer des scripts dans le répertoire de cache de timthumb.php.

Une solution suggérée par le site MarkmanUnder désactive la faille, mais il devient impossible de procéder au redimensionnement d’images depuis des domaines externes.

Il apparaît toutefois que la plupart des utilisateurs de WordPress n’utilisent cet outil qu’en local.

Pour qui souhaite conserver ces fonctionnalités, il convient de régler à « empty » (vide, c’est-à-dire aucune valeur) le paramètre $allowedsites.

PUBLICITE

Vous payez trop cher les appels de vos fixes vers les mobiles ?

Contactez-nous dès maintenant pour une étude personnalisée et chiffrée de vos besoins.

C’est simple et sans engagement ! Nos conseillers Entreprises sont à votre disposition pour établir un diagnostic complet de vos télécoms et vous orienter vers la meilleure solution.

Cliquez-ici

Autres articles sur ce sujet

Categories : Actualité, Bogues et correctifs, Logiciels, Piratage, Réseau, Sécurité, Sécurité réseau, Sites Internet, Télécommunications, TPE/PME - Business, Utilitaires.

Tags : , , , , .

Derniers commentaires




2 Responses to Faille « zero-day » : WordPress rejoint le côté obscur

  • Le 5 août 2011 à 11:19 par Thorium90

    Bonjour,
    Etant utilisateur de WordPress, je vous remerci de nous informer sur les problemes de sécurité autour de ce CMS. En revanche j’aimerai savoir pour quel raison le titre de cet article est aussi insultant ?
    J’entend par la le : WordPress se serait-il rangé du côté des pirates ?

    C’est pas parce qu’on a codé un bout de code faillé qu’on est du coté des pirates, a ce niveau la question se porte pour adobe, microsoft, apple enfin bref tout les projets qui ont vu une faille de sécurité apparaitre sont du coté des pirtates ?? non, vraiment cette reflexion etait déplacée et surtout impertinente au possible.

    D’autre part, meme dans l’usage du terme « 0-day » l’auteur se fourvoit, un 0-day c’est simplement quand on presente une faille pour la premiere fois, ensuite c’est une faille de sécurité comme toute les autres. Donc le « vient de découvrir une faille « zero-day » » tien directement du pléonasme.

    Malgré tout, merci de la news, je go patcher tout ca :)

    Répondre

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>