WordPress 5.4.1. Une mise à jour de sécurité corrige sept vulnérabilités XSS.

English version: WordPress 5.4.1. A security update fixes seven XSS vulnerabilities

Voilà. Plusieurs failles de sécurité importantes affectent les versions 5.4 et antérieures de WordPress. Parmi ces failles figurent sept vulnérabilités XSS présentes depuis des années dans le noyau de WordPress.

Cette mise à jour corrigeant des failles de sécurité, il est recommandé de mettre à jour vos sites web immédiatement, ainsi que votre plugin de sécurité.

Voici la liste des vulnérabilités corrigées telles qu'elles figurent sur wordpress.org.

• Bravo à Muaz Bin Abdus Sattar et Jannes qui ont tous deux signalé indépendamment un problème où les jetons de réinitialisation de mot de passe n'étaient pas correctement invalidés.
• Bravo à ka1n4t pour avoir trouvé un problème permettant de consulter certains messages privés sans authentification.
• Bravo à Evan Ricafort pour avoir découvert une faille XSS dans le Customizer.
• Bravo à Ben Bidner de l'équipe de sécurité WordPress qui a découvert une faille XSS dans le bloc de recherche.
• Bravo à Nick Daugherty de l'équipe WordPress VIP / Sécurité WordPress qui a découvert une faille XSS dans wp-object-cache
• Bravo à Ronnie Goodrich ( Kahoots ) et Jason Medeiros qui ont signalé indépendamment un problème XSS dans les téléchargements de fichiers.
• Bravo à Weston Ruter pour avoir corrigé une vulnérabilité XSS stockée dans le personnalisateur WordPress.

Source : https://wordpress.org/news/2020/04/wordpress-5-4-1/