Nhiều lỗ hổng khiến 800.000 trang web dễ bị tấn công
Công ty an ninh mạng Patchstack cho biết, các lỗ hổng có số hiệu là CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Hiện nay, Ninja Forms được cài đặt trên hơn 800.000 trang web.

CVE-2023-37979 (điểm CVSS là 7,1): Lỗ hổng có thể gây tấn công XSS (chèn lệnh và script độc hại) dựa trên những ý kiến, cảm xúc được đăng trên mạng xã hội (POST), có thể cho phép bất kỳ người dùng chưa được xác thực nào thực hiện hành vi leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng đặc quyền truy cập trang web lừa đảo đặc biệt.
CVE-2023-38386 và CVE-2023-38393: Là các lỗ hổng về kiểm soát truy cập trong tính năng xuất các biểu mẫu, có thể cho phép tác nhân xấu có núp dưới vai trò “người đăng ký” và “người cộng tác” để xuất tất cả các biểu mẫu Ninja trên WordPress.
Trước những lỗ hổng này, người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.
Patchstack tiết lộ một lỗ hổng bảo mật XSS khác là CVE-2023-33999 trong bộ công cụ phát triển phần mềm Freemius WordPress (SDK), ảnh hưởng đến các phiên bản 2.5.10 trở về trước, có thể bị khai thác để chiếm đoạt các đặc quyền nâng cao.
Ngoài ra, công ty bảo mật WordPress cũng phát hiện một lỗ hổng nghiêm trọng trong plugin HT Mega là CVE-2023-37999, có trong các phiên bản 2.2.0 trở về trước. Lỗ hổng cho phép mọi người dùng chưa được xác thực nâng cấp đặc quyền của họ lên bất kỳ vai trò nào trên trang WordPress.
Theo Ictvietnam
Có thể bạn quan tâm
Ra mắt Chuỗi giải ParaNatuh Pickleball chủ đề ‘Thể thao hòa nhập’
Cuộc sống số
Luật Báo chí (sửa đổi) được thông qua với nhiều điểm mới
Chính sách số
Bộ Nông nghiệp và Môi trường quyết liệt đẩy nhanh thực hiện Nghị quyết 57-NQ/TW
Chính sách số

