-
06/07/2013
-
797
-
1.308 bài viết
Hơn 800.000 trang web có thể bị tấn công vì các lỗ hổng trong plugin Ninja Forms
Nhiều lỗ hổng đã được tiết lộ trong plugin Ninja Forms dành cho WordPress có thể bị khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.
Các lỗ hổng được gán mã CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Ninja Forms được cài đặt trên hơn 800.000 trang web. Nó được hiểu là một plugin thiết kế, tạo, xây dựng và quản lý biểu mẫu miễn phí một cách dễ dàng.
Thông tin về từng lỗ hổng:
CVE-2023-37979 (Điểm CVSS: 7.1): Lỗ hổng reflected cross-site scripting (XSS) có thể cho phép người dùng chưa được xác thực leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng có đặc quyền truy cập vào một trang web tự đặc biệt.
CVE-2023-38386 và CVE-2023-38393: Lỗ hổng phân quyền hệ thống (broken access control) trong tính năng xuất biểu mẫu gửi có thể cho phép kẻ xấu có vai trò Subscriber và Contributor xuất tất cả các lần gửi Ninja Forms trên trang web WordPress.
Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.
Thông tin về lỗ hổng được đưa ra khi Công ty an ninh mạng Patchstack tiết lộ một lỗ hổng reflected XSS khác trong bộ công cụ phát triển phần mềm (SDK) Freemius của WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để chiếm được đặc quyền nâng cao.
Các lỗ hổng được gán mã CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Ninja Forms được cài đặt trên hơn 800.000 trang web. Nó được hiểu là một plugin thiết kế, tạo, xây dựng và quản lý biểu mẫu miễn phí một cách dễ dàng.
Thông tin về từng lỗ hổng:
CVE-2023-37979 (Điểm CVSS: 7.1): Lỗ hổng reflected cross-site scripting (XSS) có thể cho phép người dùng chưa được xác thực leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng có đặc quyền truy cập vào một trang web tự đặc biệt.
CVE-2023-38386 và CVE-2023-38393: Lỗ hổng phân quyền hệ thống (broken access control) trong tính năng xuất biểu mẫu gửi có thể cho phép kẻ xấu có vai trò Subscriber và Contributor xuất tất cả các lần gửi Ninja Forms trên trang web WordPress.
Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.
Thông tin về lỗ hổng được đưa ra khi Công ty an ninh mạng Patchstack tiết lộ một lỗ hổng reflected XSS khác trong bộ công cụ phát triển phần mềm (SDK) Freemius của WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để chiếm được đặc quyền nâng cao.
Theo The Hacker News