Plateforme
wordpress
Composant
molla
Corrigé dans
1.5.20
Une vulnérabilité de Cross-Site Scripting (XSS) Refletée a été découverte dans le thème Molla pour WordPress. Cette faille, affectant les versions antérieures à 1.5.19, permet à un attaquant d'injecter des scripts malveillants dans les pages web. L'exploitation réussie peut entraîner le vol de données sensibles ou la prise de contrôle du site web. La version 1.5.19 corrige cette vulnérabilité.
L'impact principal de cette vulnérabilité XSS réside dans la possibilité pour un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu de la page web ou même prendre le contrôle du compte utilisateur. Dans le cas d'un site web avec des privilèges d'administrateur, l'attaquant pourrait potentiellement compromettre l'ensemble du site. Cette vulnérabilité est similaire à d'autres failles XSS Refletées, où l'entrée non validée est incluse dans la réponse web.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la nature de XSS la rend potentiellement exploitable. Aucun Proof of Concept (PoC) public n'a été identifié à la date de cette évaluation. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Websites using the Molla WordPress theme, particularly those with user input fields or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised Molla installation on one site could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/themes/molla/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep molladisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Molla vers la version 1.5.19 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement les fonctionnalités de Molla qui sont susceptibles d'être exploitées. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Enfin, une validation rigoureuse de toutes les entrées utilisateur est essentielle pour prévenir les attaques XSS.
Mettre à jour vers la version 1.5.19, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32529 is a Reflected Cross-Site Scripting (XSS) vulnerability affecting Molla WordPress themes before version 1.5.19, allowing attackers to inject malicious scripts.
You are affected if you are using Molla WordPress theme versions prior to 1.5.19. Check your theme version and update immediately if necessary.
Upgrade the Molla WordPress theme to version 1.5.19 or later. Consider input validation and WAF rules as additional protection.
While no active exploitation campaigns have been confirmed, the vulnerability is likely to be targeted due to its ease of exploitation.
Refer to the official Molla theme documentation and WordPress plugin repository for updates and security advisories related to CVE-2026-32529.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.