Faille critique dans le plugin JetPack

By 6 juin 2016Sécurité
Faille critique dans le plugin JetPack

Une faille critique dans le plugin JetPack expose plus d’un million de sites.

C’est la société Succiri, célébré pour son plugin du même nom dédié à la sécurité de WordPress qui a découvert cette faille critique dans le plugin JetPack et qui a donné l’alerte.
D’après Succuri, cette faille est de type XSS soit une faille permettant de hacker la base de données SQL via l’injection de code JavaScrip.

La faille en question se trouve dans le module Shortcode Embeds. À l’origine, ce module permet au visiteur du site de placer différents contenus tels que des images, liens, tweets et des vidéos, mais avec cette faille XSS il est également possible d’y injecter du code JavaScript malveillant.

Une faille de sécurité particulièrement exposée par le succès de JetPack

Le problème c’est que ce plugin est l’un des plus utilisés pour ceux qui souhaitent créer un site sur wordpress. Dans nos formations wordpress, la première chose que nous expliquons, c’est que WordPress est le meilleur CMS mais avec une conséquence : Il est la cible de toutes les attaques. Du coup, c’est la même chose pour un plugin. Un plugin aussi généraliste et autant utilisé est du coup très exposé. Bref, à la moindre faille ce sont plusieurs centaines de milliers de sites qui sont exposés, une aubaine donc pour ceux qui parviennent à injecter du code malveillant.

Heureusement, l’équipe de développeurs de JetPack a déjà réagi et a publié un correctif estampillé 4.0.3. L’avantage d’un plugin à succès, c’est qu’il est également très surveillé et que les corrections sont très rapides : Donc… pas d’inquiétude;)

Leave a Reply