Jump to content

Faille dans WP 4.9.2

Portekoi

By Portekoi
in Systèmes de publication

 Share

Recommended Posts

Portekoi

Portekoi

Posted
Posted

Bonjour,

 

Un article intéressant à lire : https://www.developpez.com/actu/186571/Une-faille-dans-WordPress-permet-de-mettre-les-sites-hors-service-un-poste-de-travail-client-suffit-a-accomplir-la-besogne/

 

Le pire est que WP ne compte pas combler de lui même cette vulnérabilité qui, d'après eux, doit l'être côté serveur... Bof comme esprit je trouve...

 

 

Damien

Dan

Dan

Posted
Posted

Wordpress a sorti dans la foulée les versions 4.9.3 et 4.9.4 ...

 

Portekoi

Portekoi

Posted
  • Author
Posted

J'ai pas l'impression que cela soit lié à la faille exposée dans l'article. C'est en lien avec des Exceptions levées par la mise à jour automatique de WP.

Dan

Dan

Posted
Posted

Son script permet de patcher facilement tes sites.
  

#! /bin/bash

if [[ -f wp-login.php && -f wp-admin/load-scripts.php && -f wp-admin/includes/noop.php ]]
then
        sed -i "1 s/^.*$/<?php\ndefine('CONCATENATE_SCRIPTS', false);/" wp-login.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-scripts.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-styles.php
        echo """<?php
/**
* Noop functions for load-scripts.php and load-styles.php.
*
* @package WordPress
* @subpackage Administration
* @since 4.4.0
*/

function get_file( \$path ) {
        if ( function_exists('realpath') ) {
                \$path = realpath( \$path );
        }
        if ( ! \$path || ! @is_file( \$path ) ) {
                return '';
        }
        return @file_get_contents( \$path );    
}""" > wp-admin/includes/noop.php
                echo 'Successfuly patched.'
else
        echo 'Please run this file from WordPress root directory.'
fi

Je l'ai tourné sur la version 4.9.4 de WordPress, sans aucun souci.

 

Je l'ai même lancé sur une 4.9.2, puis ai fait la mise à jour vers 4.9.4 sans problème.

 

 

Portekoi

Portekoi

Posted
  • Author
Posted

Si je ne me trompe pas, cela signifie qu'après chaque mise à jour de WP, il faudra le faire tourner... Je vais voir ça...

Dan

Dan

Posted
Posted

Oui, parce que la mise à jour de 4.9.2 vers 4.9.3 puis 4.9.4 a remis les fichiers originaux.

 

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing
×
×
  • Create New...