18-02-2020, 07:43
Un plugin de thème WordPress populaire avec plus de 200000 installations actives contient une vulnérabilité logicielle grave mais facile à exploiter qui, si elle n'est pas corrigée, pourrait permettre à des attaquants distants non authentifiés de compromettre un large éventail de sites Web et de blogs.
Le plugin vulnérable en question est' ThemeGrill Demo Importer 'qui est fourni avec des thèmes gratuits et premium vendus par la société de développement de logiciels ThemeGrill.
La faille pourrait éventuellement permettre à des attaquants distants non authentifiés d'effacer l'intégralité de la base de données des sites Web ciblés à son état par défaut, après quoi ils seront également automatiquement connectés en tant qu'administrateur, leur permettant de prendre le contrôle complet des sites."Il s'agit d'une vulnérabilité grave qui peut causer des dommages importants. Comme elle ne nécessite aucune charge utile suspecte, aucun pare-feu ne devrait bloquer cela par défaut et une règle spéciale doit être créée pour bloquer cette vulnérabilité, "ont déclaré les chercheurs de WebARX.
WebARX, qui fournit un logiciel de détection de vulnérabilités et de correction virtuelle pour protéger les sites Web contre les vulnérabilités des composants tiers. a signalé cette vulnérabilité aux développeurs de ThemeGrill il y a deux semaines, qui a ensuite publié une version corrigée 1.6.2 le 16 février.
Le plugin vulnérable en question est' ThemeGrill Demo Importer 'qui est fourni avec des thèmes gratuits et premium vendus par la société de développement de logiciels ThemeGrill.
La faille pourrait éventuellement permettre à des attaquants distants non authentifiés d'effacer l'intégralité de la base de données des sites Web ciblés à son état par défaut, après quoi ils seront également automatiquement connectés en tant qu'administrateur, leur permettant de prendre le contrôle complet des sites."Il s'agit d'une vulnérabilité grave qui peut causer des dommages importants. Comme elle ne nécessite aucune charge utile suspecte, aucun pare-feu ne devrait bloquer cela par défaut et une règle spéciale doit être créée pour bloquer cette vulnérabilité, "ont déclaré les chercheurs de WebARX.
WebARX, qui fournit un logiciel de détection de vulnérabilités et de correction virtuelle pour protéger les sites Web contre les vulnérabilités des composants tiers. a signalé cette vulnérabilité aux développeurs de ThemeGrill il y a deux semaines, qui a ensuite publié une version corrigée 1.6.2 le 16 février.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)