Une faille de sécurité permettant l’injection SQL à l’aveugle (Blind SQL Injection) a été trouvé dans le fameux plugin WordPress SEO by Yoast utilisé par plus de 14 millions de blogs WordPress.

C’est une faille importante, mais vous êtes sûrement déjà à l’abri sans le savoir.

Qu’est ce que Blind SQL Injection?

Selon le site MCheifi le Blind SQL Injection est un vecteur d’attaque dont l’approche est très différente de celle des injections classiques, elle permet comme ses ascendants d’injecter des données à partir d’une base d’une application vulnérable. Repérer une faille de ce type n’est pas toujours facile et demande une série de tests.

Les Injections blind se caractérisent par l’absence d’un message d’erreur (qui généralement permet de repérer la faille), ce qui impose une série de tests « à l’aveuglette » afin d’identifier la présence d’une faille (ou pas) !

Quoi faire ?

Si vous utilisez WordPress, il y a de fortes chances que ce plugin figure dans votre palette d’outils.

Pour résoudre ce problème de sécurité, vous devez passer à la version 1.7.4 immédiatement.

Pas de panique si vous ne voyez aucune mise à jour à faire dans votre panneau de contrôle. L’équipe de WordPress.org a poussé une mise à jour automatique forcée. Tel a été l’annonce faite par Joost de Valk sur son blogue.

Mais attention, on rapporte que pour certains sites, ont eu des problèmes suite à cette opération automatisée. Soyez donc vigilant…