TOOLinux

Le journal du Libre

Jetpack met Wordpress en péril

mercredi 1er juin 2016

Ce sont les chercheurs de l’entreprise spécialisée dans la sécurité internet Sucuri qui ont lancé l’alerte. Une importante faille, permettant de faire un cross-site scripting, XSS, est présente dans toutes les versions de Jetpack depuis la 2.0, publiée en 2012. Cette vulnérabilité est présente dans le module Shortcode Embeds Jetpack permettant d’intégrer des ressources externes comme des images ou des vidéos. L’équipe de Jetpack a travaillée avec Sucuri afin de corriger au plus vite cette faille et un correctif pour les dernières versions est déjà disponible via l’outil de mise à jour de Wordpress. De plus, les développeurs ont délivré 21 correctifs pour chacune des versions.

Jetpack est développé par la société Automattic, qui gère Wordpress.com ; ainsi que le projet open-source Wordpress. Ce plugin aurait été téléchargé 1 million de fois, c’est dire s’il est populaire. C’est maintenant aux utilisateurs de rapidement effectuer la mise à jour. Autre possibilité : le désactiver temporairement.

Liens :

- Le site de Jetpack
- L’annonce sur le site de Jetpack