Vulnérabilité dans le plugin WordPress Orbit Fox de ThemeIsle Plugin
Date de publication :
Le plugin Orbit Fox par ThemeIsle propose diverses fonctionnalités de gestion de thèmes et d’interfaces.
CVE-xxxx-xxxxx [Score CVSS : En cours de calcul] : Une vulnérabilité a été corrigée dans ce plugin. Cette faille peut potentiellement permettre à un attaquant distant et authentifié d’élever ses privilèges sur le site vulnérable. En effet, le plugin Orbit Fox permets de mettre en place un formulaire d’inscription disponible pour certains utilisateurs. Cette fonctionnalité ne vérifie pas les données envoyées par le client au serveur. Un utilisateur peut ainsi enregistrer un compte avec des droits supérieurs aux siens.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’existe publiquement à l’heure actuelle.
- Néanmoins, une preuve de concept est disponible sur l’avis de sécurité disponible en référence de ce bulletin.
Composants vulnérables
- Les versions du plugin Wordpress Orbit Fox by ThemeIsle antérieures à la v2.10.3 sont impactées par cette vulnérabilité.
CVE
- N/A
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour le plugin Orbit Fox vers la version 2.10.3 ou vers une version supérieure.
Solution de contournement
Désactiver la fonctionnalité de formulaire d’inscription.