De graves failles découvertes dans Wordpress et Drupal

automattic, éditeur de wordpress, propose une mise à jour pour la dernière
Automattic, éditeur de Wordpress, propose une mise à jour pour la dernière version du CMS (3.9.2). Il corrige aussi d'anciennes versions (3.8.3 ou 3.7.3, avec 3.8.4 ou 3.7.4). © Capture

Wordpress et Drupal ont été victimes de nouvelles failles de sécurité, que l'on peut qualifier de graves. Elles concernent toutes deux leurs implémentations XML, et permettent de lancer des attaques par déni de service. Des mises à jour de sécurité ont été immédiatement mises à disposition pour les deux CMS (voir sur les sites des projets Wordpress et Drupal). Deux jours après, une autre faille a été décelée dans la très populaire extension Wordpress de gestion de formulaire de contact Custom Contact Forms. Elle permet à un pirate d'accéder à la base de données des sites sous Wordpress sans nécessiter de s'authentifier.