Deux vulnérabilités de menaces moyennes à élevées ont été découvertes dans deux thèmes WordPress vendus sur ThemeForest. Cette découverte est préoccupante, surtout que l’un des thèmes demeure non patché et donc vulnérable.
Thèmes WordPress concernés
Les deux thèmes WordPress en question, vendus sur ThemeForest, totalisent plus de 500 000 ventes. Les thèmes concernés sont les suivants :
- Betheme – 306 362 ventes
- Enfold – Thème multi-usage réactif – 260 607 ventes
Vulnérabilité du thème Betheme pour WordPress
Une alerte de vulnérabilité a été émise par Wordfence concernant le thème Betheme. Cette alerte indique une vulnérabilité de type Injection d’objet PHP, classée comme une menace élevée. Wordfence a été discret dans la description de cette vulnérabilité, mais dans le contexte d’un thème WordPress, cela signifie généralement qu’une entrée utilisateur n’a pas été correctement filtrée (sanitization) pour empêcher les uploads et inputs indésirables.
Voici comment Wordfence a décrit la vulnérabilité :
« Le thème Betheme pour WordPress est vulnérable à l’Injection d’objet PHP dans toutes les versions jusqu’à, et y compris, la 27.5.6 via la désérialisation de l’entrée non fiable de la méta-valeur de publication ‘mfn-page-items’. Cela permet aux attaquants authentifiés, avec un accès de niveau contributeur et supérieur, d’injecter un objet PHP. Aucune chaîne POP connue n’est présente dans le plugin vulnérable.
Si une chaîne POP est présente via un plugin ou thème supplémentaire installé sur le système cible, cela pourrait permettre à l’attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles, ou d’exécuter du code. »
Mise à jour de sécurité pour Betheme
Le thème Betheme pour WordPress a reçu une mise à jour de sécurité le 30 août 2024. Cependant, l’alerte de Wordfence ne reconnaît pas cette mise à jour. Il est possible que l’alerte nécessite une mise à jour. Néanmoins, il est recommandé aux utilisateurs du thème Enfold de mettre à jour leur thème vers la version la plus récente, qui est la version 27.5.7.1.
Enfold – Thème multi-usage réactif pour WordPress
Le thème Enfold contient une autre faille et a reçu une note de gravité de 6.4, jugée plus faible. Cependant, l’éditeur de ce thème n’a pas encore publié de correctif pour cette vulnérabilité.
Il s’agit d’une vulnérabilité de type Cross-Site Scripting (XSS) Stockée découverte dans le thème WordPress en raison d’un défaut de filtrage des entrées.
Wordfence décrit la vulnérabilité comme suit :
« Le thème Enfold – Thème multi-usage réactif pour WordPress est vulnérable à l’injection de scripts cross-site stockée via les paramètres ‘wrapper_class’ et ‘class’ dans toutes les versions jusqu’à, et y compris, la 6.0.3 en raison d’un filtrage insuffisant des entrées et d’une évasion insuffisante des sorties. Cela permet aux attaquants authentifiés, avec un accès de niveau contributeur et supérieur, d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée. »
Mise à jour de sécurité pour Enfold
Le thème Enfold – Thème multi-usage réactif pour WordPress n’a pas encore été mis à jour et reste vulnérable. Le journal des modifications documentant les mises à jour de ce thème montre qu’il a été mis à jour pour la dernière fois le 19 août 2024.
Wordfence a averti :
« Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et mettre en œuvre des mesures d’atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement. »