Une faille de sécurité critique affecte un thème de WordPress

Snicco.io, un fournisseur de services de sécurité pour WordPress, a publié, le 13 février 2024, un rapport sur une vulnérabilité affectant le thème Bricks Builder de l’éditeur de sites Internet. Répertorié CVE-2024-25600, la faille permet une exécution de code à distance et donc l’installation d’un malware. La gravité de la vulnérabilité est évaluée à 9,8 sur 10 selon le standard CVSS (Common Vulnerability Scoring System), soit un haut niveau de criticité.

CVE-2024-25600 affecte toutes les versions de Bricks Builder antérieures à 1.9.6.1. Selon snicco.io, 25 000 sites étaient vulnérables au moment de la publication du rapport. Une simple mise à jour du thème permet de protéger le site mais si l’opération s’effectue en un clic, elle n’est ni automatique ni proposée par défaut.

« Rien ne prouve que cette vulnérabilité ait été exploitée. Cependant, le risque d’exploitation augmente avec les retards dans la mise à jour vers la version 1.9.6.1. Nous vous conseillons de mettre à jour tous vos sites Bricks immédiatement », a indiqué l’éditeur du thème dans un communiqué.