WordPress 4.7.3 est maintenant disponible. Il s’agit d’une mise à jour de sécurité applicable à toutes les versions précédentes et nous vous encourageons fortement à mettre à niveau votre site immédiatement.

Les versions 4.7.2 de WordPress et précédentes sont affectées par six problèmes de sécurité :

  1. Faille XSS (Cross-site scripting) dans les méta données des médias.  Rapporté par Chris Andrè Dale, Yorick Koster, et Simon P. Briggs.
  2. Le dispositif de contrôle de caractères peut tromper la validation d’URL de redirection.  Rapporté par Daniel Chatfield.
  3. Des fichiers non souhaités peuvent être supprimés par les administrateurs en utilisant la fonctionnalité de suppression de plugins. Rapporté par xuliang.
  4. Faille XSS (Cross-site scripting) via les URLs de vidéos YouTube intégrées. Rapporté par Marc Montpas.
  5. Faille XSS (Cross-site scripting) via les noms des termes (nom de catégories, tags…).  Rapporté par Delta.
  6. Faille CSRF (injections de requêtes illégitimes par rebond) dans le mini formulaire de brouillons rapides « Press This » qui conduit à une utilisation excessive des ressources serveur.  Rapporté par Sipke Mellema.

Merci à ceux qui ont signalé tout cela. Vous aussi, signalez les failles de sécurité si vous en constatez.

En plus des problèmes de sécurité cités ci-dessus, WordPress 4.7.3 contient 39 corrections de maintenance de la branche 4.7. Pour plus d’informations, consulter les notes de mise à jour ou la liste complète des modifications.

Téléchargez WordPress 4.7.3 ou rendez-vous dans votre Tableau de bord → Mises à jour et cliquez sur « Mettre à jour maintenant ». Les sites fonctionnant avec les mises à jour automatiques en arrière-plan sont déjà en train d’être mis à jour vers WordPress 4.7.3.

Merci à tous ceux ayant contribué à la 4.7.3: Aaron D. Campbell, Adam Silverstein, Alex Concha, Andrea Fercia, Andrew Ozz, asalce, blobfolio, bonger, Boone Gorges, Boro Sitnikovski, Brady Vercher, Brandon Lavigne, Bunty, ccprog, chetansatasiya, David A. Kennedy, David Herrera, Dhanendran, Dion Hulse, Dominik Schilling (ocean90), Drivingralle, Ella Van Dorpe, Gary Pendergast, Ian Dunn, Ipstenu (Mika Epstein), James Nylen, jazbek, Jeremy Felt, Jeremy Pry, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Kelly Dwan, Marko Heijnen, MatheusGimenez, Mike Nelson, Mike Schroder, Muhammet Arslan, Nick Halsey, Pascal Birchler, Paul Bearne, pavelevap, Peter Wilson, Rachel Baker, reldev, Robert O’Rourke, Ryan Welcher, Sanket Parmar, Sean Hayes, Sergey Biryukov, Stephen Edgar, triplejumper12, Weston Ruter, and wpfo.

Traduction Mister WordPress.

Source : https://wordpress.org/news/2017/03/wordpress-4-7-3-security-and-maintenance-release/

N’hésitez pas à réagir en commentaires ! 😉

Vos commentaires sont très appréciés ci-dessous !

Veuillez cependant respecter les bonnes pratiques de commentaires sur les blogs, sinon votre message s'autodétruira après 10 secondes entre mes mains.

  • Vous devez avoir lu l'article, sinon je m'en rendrais compte, et boom !
  • Vous ne pouvez renseigner aucun mot clé SEO dans le champ "nom" (pseudo, nom de société, pas de souci).
  • Vous pouvez renseigner votre "Site Web", vous aurez un lien dofollow, je suis gentil. Par contre, gardez à l'esprit qu'il s'agit d'un lien qui sert à vous identifier en tant qu'individu (site de votre société, votre blog perso, votre chef d'œuvre WordPress...). Je refuse donc : les sites de vos clients, les pages internes que vous peinez à booster, les MFAs sans intérêt, les serruriers, rachats de crédits et autres saloperies.
  • Vous devez avoir un avis sur le sujet abordé (même contradictoire) ou au moins poser une question pertinente. Si vous souhaitez juste me montrer votre gratitude éternelle, faites-le avec un retweet ou un partage Facebook. Donc pas de "merci très bel article" qui n'apporte rien.

À vos plumes !