Nhiều lỗ hổng được tìm thấy trong Plugin Ninja Forms khiến 800.000 trang web dễ bị tổn thương

www.tuoitre.vn -   02/08/2023 08:00:00 100

Nhiều lỗ hổng bảo mật đã được tiết lộ trong plugin Ninja Forms dành cho WordPress có thể bị các tác nhân đe dọa khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.

Nhiều lỗ hổng được tìm thấy trong Plugin Ninja Forms khiến 800.000 trang web dễ bị tổn thương

Patchstack cho biết trong một báo cáo tuần trước rằng các lỗ hổng CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393 ảnh hưởng đến các phiên bản 3.6.25 trở xuống. Ninja Forms được cài đặt trên hơn 800.000 trang web.

Dưới đây là mô tả ngắn gọn về từng lỗ hổng -

CVE-2023-37979 (điểm CVSS: 7.1) - Một lỗ hổng kịch bản chéo trang (XSS) được phản ánh dựa trên POST có thể cho phép bất kỳ người dùng chưa được xác thực nào đạt được leo thang đặc quyền trên một trang web WordPress mục tiêu bằng cách lừa những người dùng có đặc quyền truy cập một trang web được tạo đặc biệt .

CVE-2023-38386 và CVE-2023-38393 - Lỗi kiểm soát truy cập bị hỏng trong tính năng xuất gửi biểu mẫu có thể cho phép kẻ xấu có vai trò Người đăng ký và Người đóng góp xuất tất cả nội dung gửi Biểu mẫu Ninja trên trang web WordPress.

Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.

Tiết lộ này được đưa ra khi Patchstack tiết lộ một lỗ hổng XSS khác được phản ánh trong bộ công cụ phát triển phần mềm (SDK) Freemius WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để có được các đặc quyền nâng cao.

Cũng được công ty bảo mật WordPress phát hiện là một lỗi nghiêm trọng trong plugin HT Mega (CVE-2023-37999) có trong phiên bản 2.2.0 trở xuống, cho phép bất kỳ người dùng chưa được xác thực nào nâng cao đặc quyền của họ lên đặc quyền của bất kỳ vai trò nào trên trang web WordPress.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 52
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 157
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 205
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 146
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 227
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 225
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

LIÊN HỆ

Thông tin liên hệ