An toàn thông tin

Nhiều lỗ hổng khiến 800.000 trang web dễ bị tấn công

Hạnh Tâm 16:58 01/08/2023

Nhiều lỗ hổng bảo mật đã được tiết lộ trong plugin Ninja Forms (một chương trình phần mềm xây dựng biểu mẫu) dành cho WordPress có thể bị các tác nhân đe dọa khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.

Công ty an ninh mạng Patchstack cho biết, các lỗ hổng có số hiệu là CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Hiện nay, Ninja Forms được cài đặt trên hơn 800.000 trang web.

a1.png

CVE-2023-37979 (điểm CVSS là 7,1): Lỗ hổng có thể gây tấn công XSS (chèn lệnh và script độc hại) dựa trên những ý kiến, cảm xúc được đăng trên mạng xã hội (POST), có thể cho phép bất kỳ người dùng chưa được xác thực nào thực hiện hành vi leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng đặc quyền truy cập trang web lừa đảo đặc biệt.

CVE-2023-38386 và CVE-2023-38393: Là các lỗ hổng về kiểm soát truy cập trong tính năng xuất các biểu mẫu, có thể cho phép tác nhân xấu có núp dưới vai trò “người đăng ký” và “người cộng tác” để xuất tất cả các biểu mẫu Ninja trên WordPress.

Trước những lỗ hổng này, người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.

Patchstack tiết lộ một lỗ hổng bảo mật XSS khác là CVE-2023-33999 trong bộ công cụ phát triển phần mềm Freemius WordPress (SDK), ảnh hưởng đến các phiên bản 2.5.10 trở về trước, có thể bị khai thác để chiếm đoạt các đặc quyền nâng cao.

Ngoài ra, công ty bảo mật WordPress cũng phát hiện một lỗ hổng nghiêm trọng trong plugin HT Mega là CVE-2023-37999, có trong các phiên bản 2.2.0 trở về trước. Lỗ hổng cho phép mọi người dùng chưa được xác thực nâng cấp đặc quyền của họ lên bất kỳ vai trò nào trên trang WordPress./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VNPT cung cấp đường truyền Internet thế hệ mới XGSPON, đột phá về tốc độ
    Với tốc độ truyền tải tối đa lên tới 10 Gbps, đường truyền Internet công nghệ mới XGigabit-capable Passive Optical Network (XGSPON) của VNPT đang tiên phong trong việc đón đầu, đáp ứng xu hướng kết nối của thời đại số, đem đến trải nghiệm tối ưu cho khách hàng.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
  • Doanh nghiệp game thứ ba ký kết hợp tác đào tạo với PTIT
    Học viện Công nghệ Bưu chính Viễn thông (PTIT) - Bộ TT&TT và Công ty Cổ phần (CP) APPOTA (APPOTA) đã chính thức công bố hợp tác đào tạo và phát triển nguồn nhân lực ngành công nghiệp game.
Nhiều lỗ hổng khiến 800.000 trang web dễ bị tấn công
POWERED BY ONECMS - A PRODUCT OF NEKO