Vulnérabilité WordPress : Faille de sécurité PHP Mailer
Une faille de sécurité importante concernant le script PHPMailer a été découverte fin décembre (pour en savoir plus CVE-2016-10033).
PHPMailer est une librairie qui permet l’envoi de mails à partir des sites internet. Elle est largement utilisée par plusieurs millions de sites internet, qui utilisent aussi bien Drupal, Joomla, WordPress ou d’autres CMS.
La faille permet à un utilisateur non authentifié d’exécuter du code malveillant à distance, en exploitant les formulaires de contact, les mails d’abonnements aux newsletters, les réinitialisation de mots de passe ou tout autre système qui utilise l’envoi de mails à partir des sites.
Il est donc fortement conseillé de mettre en place la version 5.2.20 corrigée de PHPMailer.
La prochaine version de WordPress intègrera cette mise à jour. Aucune date n’est prévue pour l’instant.
Tous les sites bénéficiant d’un contrat de sécurité SURR seront bien sûr mis à jour par l’équipe d’Alvidis.