Nhiều lỗ hổng được tìm thấy trong Plugin Ninja Forms khiến 800.000 trang web dễ bị tổn thương
Nhiều lỗ hổng bảo mật đã được tiết lộ trong plugin Ninja Forms dành cho WordPress có thể bị các tác nhân đe dọa khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.
Patchstack cho biết trong một báo cáo tuần trước rằng các lỗ hổng CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393 ảnh hưởng đến các phiên bản 3.6.25 trở xuống. Ninja Forms được cài đặt trên hơn 800.000 trang web.
Dưới đây là mô tả ngắn gọn về từng lỗ hổng -
CVE-2023-37979 (điểm CVSS: 7.1) - Một lỗ hổng kịch bản chéo trang (XSS) được phản ánh dựa trên POST có thể cho phép bất kỳ người dùng chưa được xác thực nào đạt được leo thang đặc quyền trên một trang web WordPress mục tiêu bằng cách lừa những người dùng có đặc quyền truy cập một trang web được tạo đặc biệt .
CVE-2023-38386 và CVE-2023-38393 - Lỗi kiểm soát truy cập bị hỏng trong tính năng xuất gửi biểu mẫu có thể cho phép kẻ xấu có vai trò Người đăng ký và Người đóng góp xuất tất cả nội dung gửi Biểu mẫu Ninja trên trang web WordPress.
Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.
Tiết lộ này được đưa ra khi Patchstack tiết lộ một lỗ hổng XSS khác được phản ánh trong bộ công cụ phát triển phần mềm (SDK) Freemius WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để có được các đặc quyền nâng cao.
Cũng được công ty bảo mật WordPress phát hiện là một lỗi nghiêm trọng trong plugin HT Mega (CVE-2023-37999) có trong phiên bản 2.2.0 trở xuống, cho phép bất kỳ người dùng chưa được xác thực nào nâng cao đặc quyền của họ lên đặc quyền của bất kỳ vai trò nào trên trang web WordPress.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...