Lỗ hổng bảo mật nghiêm trọng trong Plugin đăng nhập xã hội cho WordPress làm lộ tài khoản của người dùng
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong plugin Đăng ký và Đăng ký Xã hội của miniOrange dành cho WordPress có thể cho phép một tác nhân độc hại đăng nhập vì mọi thông tin do người dùng cung cấp về địa chỉ email đã được biết đến.
Được theo dõi là CVE-2023-2982 (điểm CVSS: 9,8), lỗ hổng bỏ qua xác thực ảnh hưởng đến tất cả các phiên bản của plugin, bao gồm và trước 7.6.4. Nó đã được giải quyết vào ngày 14 tháng 6 năm 2023 với việc phát hành phiên bản 7.6.5 sau khi tiết lộ có trách nhiệm vào ngày 2 tháng 6 năm 2023.
Nhà nghiên cứu István Márton của Wordfence cho biết: “Lỗ hổng này giúp kẻ tấn công không được xác thực có thể truy cập vào bất kỳ tài khoản nào trên một trang web, kể cả các tài khoản được sử dụng để quản lý trang web, nếu kẻ tấn công biết hoặc có thể tìm thấy địa chỉ email được liên kết”.
Vấn đề bắt nguồn từ thực tế là khóa mã hóa được sử dụng để bảo mật thông tin trong quá trình đăng nhập bằng tài khoản mạng xã hội được mã hóa cứng, do đó dẫn đến tình huống kẻ tấn công có thể tạo yêu cầu hợp lệ với địa chỉ email được mã hóa chính xác được sử dụng để nhận dạng người dùng .
Nếu tài khoản thuộc về quản trị viên trang WordPress, nó có thể dẫn đến sự xâm phạm hoàn toàn. Plugin được sử dụng trên hơn 30.000 trang web.
Lời khuyên sau khi phát hiện ra một lỗ hổng nghiêm trọng cao ảnh hưởng đến plugin LearnDash LMS, một plugin WordPress với hơn 100.000 lượt cài đặt đang hoạt động, có thể cho phép bất kỳ người dùng nào có tài khoản hiện tại đặt lại mật khẩu người dùng tùy ý, kể cả những người có quyền truy cập quản trị viên.
Lỗi (CVE-2023-3105, điểm CVSS: 8,8), đã được vá trong phiên bản 4.6.0.1 được phát hành vào ngày 6 tháng 6 năm 2023.
Nó cũng xuất hiện vài tuần sau khi Patchstack nêu chi tiết lỗ hổng giả mạo yêu cầu chéo trang (CSRF) trong plugin UpdraftPlus (CVE-2023-32960, điểm CVSS: 7.1) có thể cho phép kẻ tấn công không được xác thực đánh cắp dữ liệu nhạy cảm và nâng cao đặc quyền bằng cách lừa người dùng với quyền quản trị để truy cập URL trang web WordPress được tạo thủ công.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
- Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
- Thông báo thời gian kì nghỉ công ty năm 2024
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...