Vulnérabilités dans les thèmes Wordpress Thrive Themes Legacy
Date de publication :
CVE-2021-24219[Score CVSS v3 : En cours de calcul] : Une vulnérabilité a été corrigée dans les plusieurs thèmes Wordpress Thrive Themes Legacy. Thrive Legacy Themes enregistre un point de terminaison type REST API pour compresser les images à l'aide du moteur d'optimisation d'images Kraken. En fournissant une requête élaborée en combinaison avec des données insérées, un attaquant distant et non-authentifié peut être en mesure d'utiliser ce point de terminaison pour récupérer du code malveillant à partir d'une URL distante et écraser un fichier existant sur le site avec celui-ci ou créer un nouveau fichier.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Injection de code arbitraire
Criticité
-
Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
-
Aucun code d'exploitation n'est disponible publiquement à l’heure actuelle.
Néanmoins il a été signalé par l'équipe Wordfence que cette vulnérabilité est activement exploitée.
Composants vulnérables
-
La liste des thèmes impactés est disponible dans l’avis de sécurité Wordfence en référence de ce bulletin.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Thrive Themes Legacy vers la version 2.0.0.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.