PluXml 5.0.2 : correction d'une faille critique

C'est une nouvelle qui date d'hier: PluXml 5.0.1 est victime d'une faille de type XSS, c'est à dire que certains scripts peuvent être exécutés dans l'URL de votre site pour effectuer du phishing (notamment auprès de l'administration et des rédacteurs).

Cette faille a été découverte par Julio POTIER, expert en création et sécurisation de contenu web. Une vidéo de l'exploit peut être trouvée dans son billet "Faille XSS dans le CMS PluXML 5.0.1". Il est très conseillé de faire la mise à jour de PluXml, qui corrige ce problème

Mise à jour de PluXml

Deux solutions simples:

• Soit vous téléchargez et suivez le tutoriel de mise à jour sur cette page.
• Soit vous lisez le rapport hdiff des modifications et répercuttez les changements à la main.

Si vous ne pouvez pas le faire tout de suite, Julio recommande de ne pas se connecter à son site depuis un lien externe même s’il redirige bien sur votre domaine web.

Liens utiles

• L'annonce de la faille (blog PluXml)
• La boite à web (de Julio POTIER)