Le problème, une vulnérabilité d'injection SQL, affecte actuellement des millions de sites Web exécutant WordPress 4.8.2 et plus. En plus d'installer la dernière mise à jour, les propriétaires de sites WP sont invités à mettre à jour les plugins qui pourraient être aussi exploités.
La vulnérabilité a été découverte par Anthony Ferrara de Lingo Live qui a divulgué l’information en disant:
Avant de lire plus loin, si vous n'avez pas encore mis à jour votre site WordPress, arrêtez ici votre lecture et allez le mettre à jour.
Le bogue d'injection SQL a été soi-disant fixé par WordPress 4.8.2 le mois dernier, mais en réalité cette mise à jour particulière a causé des problèmes avec un grand nombre de sites et n'a pas remédié à la cause racine de la vulnérabilité.
Ferrara dit qu'il a informé WordPress sur la question immédiatement après la sortie de la dernière mise à jour, mais ses conseils n’ont apparemment pas été pris immédiatement en compte par l’équipe de WordPress.
Maintenant, avec WordPress 4.8.3, la faille de sécurité a été corrigé. D’après Ferrara :
Il suffit de mettre à niveau vers 4.8.3 et mettre à jour tous les plugins qui remplacent $wpdb (comme HyperDB, LudicrousDB, etc). Ça devrait suffire.
Dans un post sur le site de WordPress, Gary Pendergest de WordPress remercie maintenant Ferrara pour la découverte de cette faille de sécurité et explique le problème :
WordPress 4.8.3 est maintenant disponible. Il s'agit d'un communiqué de sécurité pour toutes les versions précédentes et nous vous encourageons fortement à mettre à jour vos sites immédiatement.
WordPress versions 4.8.2 et antérieures sont affectés par un problème où $wpdb-> prepare() peut créer des requêtes inattendues et dangereuses menant à l'injection potentielle SQL (SQLi).
WordPress Core n'est pas directement vulnérable à ce problème, mais nous avons ajouté précaution supplémentaire pour empêcher les plugins et les thèmes de provoquer accidentellement une vulnérabilité. Rapportée par Anthony Ferrara.
Cette version inclut un changement de comportement pour la fonction esc_sql (). La plupart des développeurs ne seront pas affectés par cette modification, vous pouvez lire plus de détails dans la note du développeur.
