Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

Un gros bobo de sécurité pour Wordpress

mardi 9 mai 2017

Dawid Golunski, chercheur en sécurité, a découvert une vulnérabilité « zero day » dans Wordpress, le CMS le plus utilisé au monde avec ses... 27 % de part de marché. La faille permettrait à un pirate, via la fonction de réinitialisation du mot de passe, de récupérer les identifiants du site et d’en prendre le contrôle. L’e-mail de récupération pourrait être détourné en modifiant la variable SERVER_NAME pour lui ajouter une entête pour l’expéditeur. C’est donc un gros souci de sécurité.

Alerté en juillet 2016, Wordpress n’a pour le moment toujours pas publié de correctif. Le chercheur a donc décidé de rendre la chose publique, malgré les risques pour le CMS.

Liens :

- La faille CV-2017-8295
- L’alerte de Dawid Golunski