Plateforme
wordpress
Composant
noo-citilights
Corrigé dans
3.7.2
Une vulnérabilité de Cross-Site Scripting (XSS) Refléché a été découverte dans le thème WordPress CitiLights. Cette faille, affectant les versions de 0.0.0 à 3.7.1, permet à un attaquant d'injecter des scripts malveillants via des entrées utilisateur non correctement validées. L'exploitation réussie peut entraîner le vol de données sensibles et le détournement de session. La version corrigée, 3.7.2, est désormais disponible.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut être utilisé pour voler des cookies de session, rediriger l'utilisateur vers des sites malveillants, modifier le contenu de la page web, ou même installer des logiciels malveillants. Dans un scénario d'attaque, un attaquant pourrait insérer un script malveillant dans un champ de formulaire ou une URL, qui serait ensuite exécuté par d'autres utilisateurs interagissant avec le site web. La surface d'attaque est large, car toute entrée utilisateur non filtrée est potentiellement vulnérable. Cette vulnérabilité est similaire à d'autres failles XSS Refletées, mais la spécificité du thème CitiLights la rend particulièrement critique pour les sites web l'utilisant.
Cette vulnérabilité a été publiée le 25 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature courante des vulnérabilités XSS et de la disponibilité potentielle de Proof-of-Concepts (PoC). Bien qu'elle ne figure pas encore sur le KEV de CISA, sa classification CVSS de 7.1 (HAUTE) justifie une attention particulière.
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour CitiLights vers la version 3.7.2 ou supérieure. Si la mise à jour n'est pas possible immédiatement, des mesures temporaires peuvent être prises. Il est recommandé d'implémenter une validation stricte de toutes les entrées utilisateur, en particulier celles affichées sur la page web. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes contenant des scripts XSS. De plus, la configuration de Content Security Policy (CSP) peut limiter les sources de scripts autorisées, réduisant ainsi l'impact potentiel d'une attaque XSS. Après la mise à jour, vérifiez l'intégrité des fichiers du thème et effectuez des tests de pénétration pour confirmer l'absence de vulnérabilités.
Mettre à jour vers la version 3.7.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24973 is a Reflected XSS vulnerability affecting the CitiLights WordPress theme, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using the CitiLights WordPress theme in versions 0.0.0 through 3.7.1. Upgrade to 3.7.2 or later to resolve the issue.
Upgrade the CitiLights WordPress theme to version 3.7.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is currently no indication that CVE-2026-24973 is being actively exploited in the wild.
Refer to the NooTheme website or WordPress plugin repository for the official advisory and update information regarding CVE-2026-24973.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.