Une faille importante a été découverte dans Wordpress par un internaute français, PsychoGun.

Le principe est basé sur le fait que chacun peut mettre des commentaires aux billets, que ce soit les visiteurs ou l'administrateur du blog, et que ce dernier peut ajouter du javascript à ses commentaires ( tout comme aux billets ).
La faille est que Wordpress ne vérifie pas correctemment la provenance de certaines données qui lui sont envoyées : il est ainsi possible de faire ajouter par l'administrateur à son insu un commentaire avec du code javascript en l?invitant à visiter une page web comportant du code malveillant.

En conséquence, il existe un risque de pouvoir modifier des fichiers PHP présents sur le serveur du blog, en injectant dans le commentaire de l'Ajax via cette faille XSS, et de prendre donc le contrôle du serveur et de ses bases de données.

En attendant qu'un correctif sorte, PsychoGun conseille de ne pas aller sur un site dont on n'est pas sûr de l'intégrité lorsqu'on est connecté en même temps au compte administrateur de Wordpress.



Plus de détails sur le site de PsychoGun