La semaine dernière, les développeurs du très populaire système de gestion de contenu (CMS) WordPress ont publié une mise à jour sans préciser que celle-ci corrigeait une très sérieuse vulnérabilité. Lors de sa livraison le 26 janvier, ces derniers ont bien précisé que la version 4.7.2 de WordPress était une mise à jour de sécurité, sauf que dans les notes jointes, ne sont mentionnées que trois vulnérabilités modérées, dont l'une ne concerne même pas le code interne de la plate-forme. Cependant, mercredi, soit une semaine après, l'équipe de sécurité de WordPress a révélé qu'une quatrième vulnérabilité, beaucoup plus grave que les autres, avait également été corrigée dans la version 4.7.2.
Cette vulnérabilité a été découverte par les chercheurs de la firme de sécurité Sucuri et signalée en privé à l'équipe de WordPress le 20 janvier. Localisée dans l'API REST de la plate-forme, elle permet à des attaquants non authentifiés de modifier le contenu d'une publication ou d'une page d’un site WordPress. « Nous pensons que la transparence est dans l'intérêt du public », a déclaré mercredi dans un blog le développeur de WordPress, Aaron Campbell. « Nous faisons toujours en sorte de communiquer sur les questions de sécurité. Mais cette fois, nous avons volontairement retardé la divulgation de la vulnérabilité d'une semaine pour ne pas exposer la sécurité de millions de sites WordPress supplémentaires ».
Une mise à jour vraiment urgente
Selon Aaron Campbell, après avoir pris connaissance de la faille, les développeurs de WordPress ont contacté des entreprises de sécurité qui maintiennent des pare-feux d'applications Web populaires (WAF) afin de leur demander de déployer des règles de protection contre d'éventuels exploits. Ensuite, ils ont pris contact avec de gros hébergeurs WordPress pour leur expliquer comment implémenter des protections pour leurs clients avant la disponibilité d’un correctif officiel.
La vulnérabilité affecte uniquement les versions 4.7 et 4.7.1 de WordPress, où l'API REST est activée par défaut. Les anciennes versions ne sont pas affectées, même si elles comportent le plug-in REST API. « Nous aimerions également remercier les WAF et les hébergeurs qui ont travaillé en étroite collaboration avec nous pour ajouter des protections supplémentaires et qui ont surveillé leurs systèmes pour empêcher toute tentative d'utiliser cet exploit sauvagement », a déclaré le développeur. « À ce jour, à notre connaissance, il n'y a eu aucune tentative pour exploiter cette vulnérabilité ».
C’est une bonne nouvelle en soi, mais cela ne signifie pas pour autant que les attaquants ne commenceront pas à exploiter la vulnérabilité dans la mesure où l’information est désormais connue. WordPress est la plate-forme de construction de sites web la plus populaire et elle représente une cible très attractive pour les pirates. Les webmasters doivent faire en sorte de mettre à jour dès que possible leurs sites WordPress en version 4.7.2, s'ils ne l'ont pas déjà fait.