Tin An Ninh Mạng

Lỗ hổng XSS trong plugin WP-Members Membership ảnh hưởng hơn 60.000 trang web

Đến hẹn lại lên, một lỗ hổng Cross-site Scripting (XSS) với mã định danh CVE-2024-1852 trong plugin WP-Members Membership có thể bị khai thác để chèn các tập lệnh tùy ý vào các trang web.

{
“lightbox_close”: “Close”,
“lightbox_next”: “Next”,
“lightbox_previous”: “Previous”,
“lightbox_error”: “The requested content cannot be loaded. Please try again later.”,
“lightbox_start_slideshow”: “Start slideshow”,
“lightbox_stop_slideshow”: “Stop slideshow”,
“lightbox_full_screen”: “Full screen”,
“lightbox_thumbnails”: “Thumbnails”,
“lightbox_download”: “Download”,
“lightbox_share”: “Share”,
“lightbox_zoom”: “Zoom”,
“lightbox_new_window”: “New window”,
“lightbox_toggle_sidebar”: “Toggle sidebar”
}

xss-1525228802112138277292-0-71-500-961-crop-15252288102071920564814.png

Ảnh của Bizfly Cloud

WP-Members Membership là một plugin WordPress được sử dụng để quản lý và điều chỉnh việc đăng ký thành viên trên các trang web WordPress với hơn 60.000 lượt cài đặt đang hoạt động.

Nguyên nhân tồn tại lỗ hổng này là do việc kiểm tra dữ liệu đầu vào và bảo vệ dữ liệu đầu ra không đúng cách, cho phép kẻ tấn công tạo ra các tài khoản chứa đoạn mã độc hại được lưu trữ dữ liệu dưới dạng địa chỉ IP của người dùng.

Để khai thác lỗ hổng, kẻ tấn công có thể sử dụng chức năng đăng ký người dùng của plugin WP-Members Membership để điền và gửi biểu mẫu đăng ký, sau đó chặn yêu cầu đăng ký bằng proxy và sửa đổi nó để chứa tiêu đề X-Forwarded-For kèm payload độc hại trong các thẻ script.

Người dùng plugin này được khuyến cáo nên cập nhật lên phiên bản WP-Members Memberhip 3.4.9.3 để giải quyết lỗ hổng này càng sớm càng tốt.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !