Tin An Ninh Mạng

Hơn 800.000 trang web có thể bị tấn công vì các lỗ hổng trong plugin Ninja Forms

hacker 22
Nhiều lỗ hổng đã được tiết lộ trong plugin Ninja Forms dành cho WordPress có thể bị khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.

{

}

1690866692368.png

Các lỗ hổng được gán mã CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Ninja Forms được cài đặt trên hơn 800.000 trang web. Nó được hiểu là một plugin thiết kế, tạo, xây dựng và quản lý biểu mẫu miễn phí một cách dễ dàng.

Thông tin về từng lỗ hổng:

CVE-2023-37979 (Điểm CVSS: 7.1): Lỗ hổng reflected cross-site scripting (XSS) có thể cho phép người dùng chưa được xác thực leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng có đặc quyền truy cập vào một trang web tự đặc biệt.

CVE-2023-38386 và CVE-2023-38393: Lỗ hổng phân quyền hệ thống (broken access control) trong tính năng xuất biểu mẫu gửi có thể cho phép kẻ xấu có vai trò Subscriber và Contributor xuất tất cả các lần gửi Ninja Forms trên trang web WordPress.

Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.

Thông tin về lỗ hổng được đưa ra khi Công ty an ninh mạng Patchstack tiết lộ một lỗ hổng reflected XSS khác trong bộ công cụ phát triển phần mềm (SDK) Freemius của WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để chiếm được đặc quyền nâng cao.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !