Le célèbre plug-in JetPack pour WordPress est affecté par une faille qui expose plus d’un million de sites Internet. Mise à jour recommandée.
La société Sucuri vient d’annoncer que le plug-in JetPack pour WordPress, très utilisé par les développeurs, était touché par une faille permettant l’injection de code JavaScript.
Module Shortcode Embeds
La faille de JetPack serait dans le module Shortcode Embeds qui permet aux visiteurs du site, fonctionnant avec WordPress, de placer des images, liens, tweets et autres vidéo dans les commentaires. Le problème est que ce module est aussi sensible au JavaScript et qu’un code malicieux permettrait d’effectuer différentes opérations lorsque le visiteur lit le commentaire avec le code. Ainsi le lecteur pourra être redirigé vers un autre site, se faire dérober des cookies ou encore être soumis à des affichages non désirés.
Sucuri annonce que les toutes les versions sorties après 2012 sont concernées. Heureusement, les créateurs de JetPack ont déjà réagi à la faille et la dernière version, la 4.0.3, corrige le problème. Donc, la mise à jour est très fortement recommandée. Vous pouvez le faire automatiquement dans WordPress ou récupérer l’archive ici.