Nhiều lỗ hổng được tìm thấy trong Plugin Ninja Forms khiến 800.000 trang web dễ bị tổn thương

www.tuoitre.vn -   02/08/2023 08:00:00 215

Nhiều lỗ hổng bảo mật đã được tiết lộ trong plugin Ninja Forms dành cho WordPress có thể bị các tác nhân đe dọa khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.

Nhiều lỗ hổng được tìm thấy trong Plugin Ninja Forms khiến 800.000 trang web dễ bị tổn thương

Patchstack cho biết trong một báo cáo tuần trước rằng các lỗ hổng CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393 ảnh hưởng đến các phiên bản 3.6.25 trở xuống. Ninja Forms được cài đặt trên hơn 800.000 trang web.

Dưới đây là mô tả ngắn gọn về từng lỗ hổng -

CVE-2023-37979 (điểm CVSS: 7.1) - Một lỗ hổng kịch bản chéo trang (XSS) được phản ánh dựa trên POST có thể cho phép bất kỳ người dùng chưa được xác thực nào đạt được leo thang đặc quyền trên một trang web WordPress mục tiêu bằng cách lừa những người dùng có đặc quyền truy cập một trang web được tạo đặc biệt .

CVE-2023-38386 và CVE-2023-38393 - Lỗi kiểm soát truy cập bị hỏng trong tính năng xuất gửi biểu mẫu có thể cho phép kẻ xấu có vai trò Người đăng ký và Người đóng góp xuất tất cả nội dung gửi Biểu mẫu Ninja trên trang web WordPress.

Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.

Tiết lộ này được đưa ra khi Patchstack tiết lộ một lỗ hổng XSS khác được phản ánh trong bộ công cụ phát triển phần mềm (SDK) Freemius WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để có được các đặc quyền nâng cao.

Cũng được công ty bảo mật WordPress phát hiện là một lỗi nghiêm trọng trong plugin HT Mega (CVE-2023-37999) có trong phiên bản 2.2.0 trở xuống, cho phép bất kỳ người dùng chưa được xác thực nào nâng cao đặc quyền của họ lên đặc quyền của bất kỳ vai trò nào trên trang web WordPress.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 45
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 49
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 48
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 72
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 42
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 79
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ