Aller au contenu

Faille dans WP 4.9.2


Portekoi

Sujets conseillés

Bonjour,

 

Un article intéressant à lire : https://www.developpez.com/actu/186571/Une-faille-dans-WordPress-permet-de-mettre-les-sites-hors-service-un-poste-de-travail-client-suffit-a-accomplir-la-besogne/

 

Le pire est que WP ne compte pas combler de lui même cette vulnérabilité qui, d'après eux, doit l'être côté serveur... Bof comme esprit je trouve...

 

 

Damien

Lien vers le commentaire
Partager sur d’autres sites

Son script permet de patcher facilement tes sites.
 

#! /bin/bash

if [[ -f wp-login.php && -f wp-admin/load-scripts.php && -f wp-admin/includes/noop.php ]]
then
        sed -i "1 s/^.*$/<?php\ndefine('CONCATENATE_SCRIPTS', false);/" wp-login.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-scripts.php
        sed -i -e "s/^require( ABSPATH . WPINC . '\/script-loader.php' );$/require( ABSPATH . 'wp-admin\/admin.php' );/g" wp-admin/load-styles.php
        echo """<?php
/**
* Noop functions for load-scripts.php and load-styles.php.
*
* @package WordPress
* @subpackage Administration
* @since 4.4.0
*/

function get_file( \$path ) {
        if ( function_exists('realpath') ) {
                \$path = realpath( \$path );
        }
        if ( ! \$path || ! @is_file( \$path ) ) {
                return '';
        }
        return @file_get_contents( \$path );    
}""" > wp-admin/includes/noop.php
                echo 'Successfuly patched.'
else
        echo 'Please run this file from WordPress root directory.'
fi

Je l'ai tourné sur la version 4.9.4 de WordPress, sans aucun souci.

 

Je l'ai même lancé sur une 4.9.2, puis ai fait la mise à jour vers 4.9.4 sans problème.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...