Une vulnérabilité de sécurité critique dans Wordpress

Buffer

Dr Dave m’a signalé cet après midi une vulnérabilité de sécurité critique dans le système de blog open source Wordpress.

Aucun patch ou correction n’étant disponible actuellement, les utilisateurs de Wordpress sont instamment invités à désactiver la libre inscription des utilisateurs sur leur blog, et à supprimer les comptes de tous les utilisateurs dans lesquels ils n’auraient pas entièrement confiance.

J’ai eu l’occasion de jouer un peu avec cette vulnérabilité cet après midi après que Dave l’ait portée à mon attention, et je peux vous assurer que lorsque je parle de vulnérabilité critique, ce n’est pas de la blague.

Le billet original de Dave sur le sujet.

Buffer
Publié le 26 juillet 2006 à 22h05 Publié sous et Labels blogging, php, bug, spam, wordpress, security

À propos

Frédéric de Villamil

Je m'appelle Frédéric de Villamil, et quand je ne déploie pas ma mauvaise humeur et ma mauvaise foi sur le Web, je suis un super héros chargé de sauver le monde. Vous pouvez me suivre sur Twitter.

  1. Somebaudy le 26 juillet 2006 à 23h44

    Ca n’a jamais été activé chez moi. Ouf.

  2. Frédéric de Villamil le 28 juillet 2006 à 19h01

    Eh ben tant mieux :)

    Mais tu n’es pas le seul utilisateur de WP au monde.

  3. Florian L.G. le 31 juillet 2006 à 11h16

    Avec la nouvelle monture de Movable Type (écrit dans un langage-du-bien s’il en est), il devient à mon goût de moins en moins logique de rester sous WP.

    Passé ce petit moment d’évangélisme, et pour revenir à ce problème précis de WP, j’ai du mal à comprendre quel intêret on peut avoir à laisser les gens s’ouvrir librement un compte sur le moteur du CMS.

  4. Frédéric de Villamil le 31 juillet 2006 à 11h29

    Florian : certaines personnes, afin d’éviter le spam, par exemple, ou pour se créer une mini communauté choisissent de n’ouvrir les commentaires qu’aux inscrits, un peu à l’instar des forums sur lesquels une inscription est obligatoire pour pouvoir poster (et parfois même lire).

    Quand aux bienfaits du langage que tu évoques, oui peut être pour les geeks qui aiment passer plus de temps à se relire qu’à coder, et qui n’ont pas besoin d’un angage vraiment évolué. Les autres choisissent ruby.

  5. Florian L.G. le 31 juillet 2006 à 12h20

    Attention, je n’ai pas dit que c’était le meilleur langage de script disponible sur le marché. Je ne me serai pas permis de troller ici.

    Seulement, par sa syntaxe et ses approches, son ancienté et sa maturité, par sa popularité et la disponibilité d’énormément de librairies logicielles, il mérite sa place dans les langages du Bien (à côté de awk).

Réagir à Une vulnérabilité de sécurité critique dans Wordpress

Afin de maintenir le niveau global de ce site, les commentaires font l'objet d'une politique de modération qualitative basée sur des critères non écrits et totalement subjectifs, donc injustes.

Les commentaires écrits en langage SMS, inutiles, déplacés, injurieux ou relevant du spam seront systématiquement supprimés sans avertissement préalable.