Dernière ligne droite avant la version 6.1
Mise à jour de maintenance
Dernière mise à jour de maintenance “WordPress 6.0.3” avant la nouvelle release majeure de WordPress 6.1. Dans cette version uniquement des corrections.
Le risque de gravité le plus élevé associé à l’une de ces failles de sécurité est moyen. La plupart des bogues corrigés sont de gravité “faible”, car ils nécessitent une authentification pour fonctionner comme une attaque et ont un impact limité.
Les erreurs les plus dangereuses sont liées aux redirections ouvertes, aux fuites de balises ou de valeurs de terme dans les publications non publiées ou au XSS authentifié. J’ai écrit plus de détails pour chacun d’entre eux ci-dessous dans la section “Bugs Breakdown Fixed”.
Cette version sécurisée a été produite avec l’aide de plus de 11 chercheurs en sécurité et de plus de 28 bénévoles et développeurs WordPress.org. Il est maintenant temps pour plus de 450 millions de propriétaires de sites WordPress de faire leur part et d’appliquer le correctif.
Les correctifs ont été rétroportés. Chaque version majeure antérieure à WordPress 3.7 a reçu aujourd’hui une nouvelle version mineure avec des correctifs pour remédier à ces vulnérabilités de sécurité. C’est 9 années incroyables de support pour la branche 3.7. Qui, touche à sa fin. Dans un peu plus d’un mois, le 1er décembre 2022, les correctifs de sécurité rétroportés ne reviendront qu’à la version 4.1 de WordPress. Si vous utilisez WordPress 3.7 à 4.0, vous devrez mettre à jour votre site vers une version majeure prise en charge (4.1 ou supérieure) pour continuer à recevoir les correctifs de sécurité.
Vous les trouverez ci-dessous en anglais :
Security updates included in this release
The WordPress security team would like to thank the following people for responsibly reporting vulnerabilities, and allowing them to be fixed in this release.
- Stored XSS via wp-mail.php (post by email) – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
- Open redirect in `wp_nonce_ays` – devrayn
- Sender’s email address is exposed in wp-mail.php – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
- Media Library – Reflected XSS via SQLi – Ben Bidner from the WordPress security team and Marc Montpas from Automattic independently discovered this issue
- CSRF in wp-trackback.php – Simon Scannell
- Stored XSS via the Customizer – Alex Concha from the WordPress security team
- Revert shared user instances introduced in 50790 – Alex Concha and Ben Bidner from the WordPress security team
- Stored XSS in WordPress Core via Comment Editing – Third-party security audit and Alex Concha from the WordPress security team
- Data exposure via the REST Terms/Tags Endpoint – Than Taintor
- Content from multipart emails leaked – Thomas Kräftner
- SQL Injection due to improper sanitization in `WP_Date_Query` – Michael Mazzolini
- RSS Widget: Stored XSS issue – Third-party security audit
- Stored XSS in the search block – Alex Concha of the WP Security team
- Feature Image Block: XSS issue – Third-party security audit
- RSS Block: Stored XSS issue – Third-party security audit
- Fix widget block XSS – Third-party security audit
Bientôt la Version de WordPress 6.1
La version de WordPress 6.0.3 devrait arriver en théorie aux alentours du 1er Novembre 2022. Cette version va se concentrer sur l’évolution de Gutenberg et du FSE. Une fois n’est pas coutume, nous passerons notre parc directement en 6.1.0 et nous n’attendrons pas la version de WordPress 6.1.1.
Les nouvelles versions de WordPress permettent de corriger d’éventuelles erreurs techniques et failles de sécurité en profitant des dernières fonctionnalités proposées par le CMS. Un code optimisé augmentera la vitesse de chargement des pages et améliorera ainsi les citations organiques de votre site WordPress. Vous pouvez également utiliser des thèmes et des plugins pour la dernière version de WordPress.
Être à DonF
Tous vos sites sont à jour 😎 vers la version de WordPress 6.0.3, en cas de souci contactez-nous.
