Problème de sécurité dans le plugin Simple Tagging

Un des plugins que j’utilise souffre d’un problème important de sécurité : Simple Tagging. Ce problème était présent dans la version 1.6.8, et l’est aussi dans la version 1.6.8.1 qui vient de sortir.

Le problème apparait pour les mots‐clé qui contiennent le caractère apostrophe. Un des symptômes est un bug lorsque vous cliquez sur un tel mot clé : wordpress vous indique qu’il y a un problème avec la requête SQL. Mais ce bug peut être exploité pour faire de l’injection SQL. Cette technique permet d’avoir accès à la totalité de la base de données en lecture et écriture, en détournant une requête, ce qui est quand même gênant.

J’ai donc désactivé ce plugin sur mon blog pour le moment, et je vous invite à faire de même. J’ai remonté le problème sur le trac du plugin, j’espère avoir une réponse rapide.

Laisser un commentaire