Akismet 3.1.5 : Un correctif d’une faille de sécurité XSS critique

Si vous utilisez Akismet pour lutter contre le spam de commentaires, assurez-vous qu’il est la version 3.1.5 ! Cette dernière version patche une faille de sécurité critique. En raison de la nature du bug, l’équipe Akismet à sorti une mise à jour automatique sur sites qui sont configuré pour les accepter. Selon Sucuri, les sites utilisant Akismet 3.1.4 et inférieure et qui ont l’option d’affichage convertir émoticônes comme 🙂 en images activé, sont à risque.

La vulnérabilité découle de la façon dont Akismet gère hyperliens dans les commentaires d’un site. Un attaquant disposant d’une connaissance suffisante du code de WordPress pourrait insérer des scripts malveillants dans la section Commentaire de la backend WordPress. Ce type d’attaque pourrait conduire à un certain nombre d’autres attaques, y compris compromettre un site entier.

Jusqu’à présent, les développeurs Akismet ne disposent pas de preuve que la vulnérabilité est activement exploitée dans la nature. Parce que la vulnérabilité est théoriquement exploitable via les commentaires, Akismet bloque les tentatives au cours de la vérification commentaire appel d’API afin que les sites ne fonctionnant pas sous la version la plus récente soient protégés. Cependant, vous devriez toujours mettre à jour immédiatement 3.1.5.

Nos sites internet :

Site Agence digitale Paris
Site spécialisé pour Maintenance WordPress, Sécurité WordPress et Hébergement Wordpress