Aller au contenu
Portekoi

Faille dans WP 4.9.2

Noter ce sujet :

Recommended Posts

Bonjour,

 

Un article intéressant à lire : https://www.developpez.com/actu/186571/Une-faille-dans-WordPress-permet-de-mettre-les-sites-hors-service-un-poste-de-travail-client-suffit-a-accomplir-la-besogne/

 

Le pire est que WP ne compte pas combler de lui même cette vulnérabilité qui, d'après eux, doit l'être côté serveur... Bof comme esprit je trouve...

 

 

Damien

Partager ce message


Lien à poster
Partager sur d’autres sites

Wordpress a sorti dans la foulée les versions 4.9.3 et 4.9.4 ...

 

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai pas l'impression que cela soit lié à la faille exposée dans l'article. C'est en lien avec des Exceptions levées par la mise à jour automatique de WP.

Partager ce message


Lien à poster
Partager sur d’autres sites

Son script permet de patcher facilement tes sites.
 

#! /bin/bash

if [[ -f wp-login.php && -f wp-admin/load-scripts.php && -f wp-admin/includes/noop.php ]]
then
        sed -i "1 s/^.*$/<?php\ndefine('CONCATENATE_SCRIPTS', false);/" wp-login.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-scripts.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-styles.php
        echo """<?php
/**
* Noop functions for load-scripts.php and load-styles.php.
*
* @package WordPress
* @subpackage Administration
* @since 4.4.0
*/

function get_file( \$path ) {
        if ( function_exists('realpath') ) {
                \$path = realpath( \$path );
        }
        if ( ! \$path || ! @is_file( \$path ) ) {
                return '';
        }
        return @file_get_contents( \$path );    
}""" > wp-admin/includes/noop.php
                echo 'Successfuly patched.'
else
        echo 'Please run this file from WordPress root directory.'
fi

Je l'ai tourné sur la version 4.9.4 de WordPress, sans aucun souci.

 

Je l'ai même lancé sur une 4.9.2, puis ai fait la mise à jour vers 4.9.4 sans problème.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Si je ne me trompe pas, cela signifie qu'après chaque mise à jour de WP, il faudra le faire tourner... Je vais voir ça...

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui, parce que la mise à jour de 4.9.2 vers 4.9.3 puis 4.9.4 a remis les fichiers originaux.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Oups ! Faut que je regarde çà... Merci

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×