Các lỗ hổng được gán mã CVE-2023-37979, CVE-2023-38386 và CVE-2023-38393, ảnh hưởng đến các phiên bản 3.6.25 trở về trước. Ninja Forms được cài đặt trên hơn 800.000 trang web. Nó được hiểu là một plugin thiết kế, tạo, xây dựng và quản lý biểu mẫu miễn phí một cách dễ dàng.
Thông tin về từng lỗ hổng:
CVE-2023-37979 (Điểm CVSS: 7.1): Lỗ hổng reflected cross-site scripting (XSS) có thể cho phép người dùng chưa được xác thực leo thang đặc quyền trên trang web WordPress mục tiêu bằng cách lừa người dùng có đặc quyền truy cập vào một trang web tự đặc biệt.
CVE-2023-38386 và CVE-2023-38393: Lỗ hổng phân quyền hệ thống (broken access control) trong tính năng xuất biểu mẫu gửi có thể cho phép kẻ xấu có vai trò Subscriber và Contributor xuất tất cả các lần gửi Ninja Forms trên trang web WordPress.
Người dùng plugin nên cập nhật lên phiên bản 3.6.26 để giảm thiểu các mối đe dọa tiềm ẩn.
Thông tin về lỗ hổng được đưa ra khi Công ty an ninh mạng Patchstack tiết lộ một lỗ hổng reflected XSS khác trong bộ công cụ phát triển phần mềm (SDK) Freemius của WordPress ảnh hưởng đến các phiên bản trước 2.5.10 (CVE-2023-33999) có thể bị khai thác để chiếm được đặc quyền nâng cao.
Bạn nên cập nhật plugin của mình ngay lập tức để bảo vệ trang web của mình khỏi bị tấn công.
Dưới đây là một số mẹo để bảo vệ trang web của bạn khỏi bị tấn công:
- Cập nhật tất cả các plugin và themes của bạn thường xuyên.
- Sử dụng mật khẩu mạnh và duy nhất cho mỗi trang web.
- Kích hoạt xác thực hai yếu tố (2FA) cho trang web của bạn.
- Sử dụng một tường lửa ứng dụng web (WAF) để chặn các cuộc tấn công DDoS và các cuộc tấn công khác.
- Thường xuyên sao lưu trang web của bạn.
Đăng nhận xét