Phát hiện lỗ hổng SQLi nghiêm trọng ảnh hưởng hơn 200 nghìn trang web

0
0

- Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong một plugin WordPress phổ biến có tên Ultimate Member, với hơn 200.000 lượt cài đặt đang hoạt động.

Lỗ hổng này có định danh CVE-2024-1071, điểm CVSS 9,8 trên thang điểm 10. Nhà nghiên cứu Christiaan Swiers được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này. Công ty bảo mật WordPress Wordfence cho biết plugin này "dễ bị tấn công SQL Injection qua tham số 'sorting' trong các phiên bản 2.1.3 đến 2.8.2 do xử lý không đúng cách tham số do người dùng cung cấp trước khi truyền vào câu truy vấn SQL".

 

Những kẻ tấn công không cần xác thực có thể lợi dụng lỗ hổng để chèn thêm các truy vấn SQL vào câu truy vấn hiện có và trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu. Điều đáng lưu ý là vấn đề này chỉ ảnh hưởng đến những người dùng đã bật tùy chọn "Enable custom table for usermeta" trong cài đặt plugin.

Sau khi được báo cáo vào ngày 30 tháng 1 năm 2024, các nhà phát triển plugin đã cung cấp bản sửa lỗi với việc phát hành phiên bản 2.8.3 vào ngày 19 tháng 2. Người dùng nên cập nhật plugin lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn, đặc biệt trong bối cảnh Wordfence đã chặn một cuộc tấn công đang cố khai thác lỗ hổng này trong thực tế.

Vào tháng 7 năm 2023, một lỗ hổng khác trong cùng plugin (CVE-2023-3460, điểm CVSS: 9,8) đã bị các tác nhân đe dọa khai thác để tạo những người dùng quản trị viên lừa đảo và giành quyền kiểm soát các trang web dễ bị tấn công.

Theo tinnhiemmang.vn, sự phát triển này diễn ra trong bối cảnh một chiến dịch mới gia tăng, lợi dụng các trang web WordPress bị xâm nhập để triển khai các công cụ đánh cắp tiền điện tử như Angel Drainer hoặc chuyển hướng người dùng đến các trang lừa đảo lưu trữ các công cụ độc hại.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.