Vulnérabilités dans les thèmes Wordpress Thrive Themes Legacy

Date de publication : 29/09/2022

CVE-2021-24219[Score CVSS v3 : En cours de calcul] : Une vulnérabilité a été corrigée dans les plusieurs thèmes Wordpress Thrive Themes Legacy. Thrive Legacy Themes enregistre un point de terminaison type REST API pour compresser les images à l'aide du moteur d'optimisation d'images Kraken. En fournissant une requête élaborée en combinaison avec des données insérées, un attaquant distant et non-authentifié peut être en mesure d'utiliser ce point de terminaison pour récupérer du code malveillant à partir d'une URL distante et écraser un fichier existant sur le site avec celui-ci ou créer un nouveau fichier.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire

Criticité

Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Aucun code d'exploitation n'est disponible publiquement à l’heure actuelle.
Néanmoins il a été signalé par l'équipe Wordfence que cette vulnérabilité est activement exploitée.

Composants vulnérables

La liste des thèmes impactés est disponible dans l’avis de sécurité Wordfence en référence de ce bulletin.

CVE

CVE-2021-24219

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Thrive Themes Legacy vers la version 2.0.0.

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens

Recently Patched Vulnerability in Thrive Themes Actively Exploited in the Wild