Lỗ hổng nghiêm trọng ảnh hưởng đến hơn 300 nghìn trang web WordPress

0
0

- CERT của Nhật Bản (JPCERT) mới đây đã cảnh báo về lỗ hổng nghiêm trọng (CVE-2024-28890, CVSS v3: 9.8) trong Forminator có thể cho phép tin tặc từ xa tải phần mềm độc hại lên các trang web bằng cách sử dụng plugin.

Plugin Forminator WordPress được sử dụng trên hơn 500.000 trang web dễ bị tấn công bởi một lỗ hổng cho phép các tác nhân độc hại tải tệp tùy ý lên máy chủ. Forminator của WPMU DEV là công cụ cho phép tuỳ chỉnh biểu các mẫu liên hệ, phản hồi, câu hỏi, khảo sát/thăm dò ý kiến ​​và biểu mẫu thanh toán cho các trang web WordPress.

Cảnh báo cho biết rằng: “Kẻ tấn công từ xa có thể lấy cắp thông tin nhạy cảm bằng cách truy cập các tệp trên máy chủ, thay đổi trang web sử dụng plugin và gây ra tình trạng từ chối dịch vụ (DoS)”.

 

Bản tin bảo mật của JPCERT liệt kê ba lỗ hổng sau:

- CVE-2024-28890 - Thiếu kiểm tra xác thực tệp trong quá trình tải tệp lên, cho phép kẻ tấn công tải lên và thực thi các tệp độc hại trên máy chủ web, ảnh hưởng đến phiên bản Forminator <= 1.29.0.

- CVE-2024-31077 - Lỗ hổng SQL injection cho phép những kẻ tấn công đã giành được quyền quản trị viên thực thi các truy vấn SQL tùy ý trong cơ sở dữ liệu của trang web, ảnh hưởng đến phiên bản Forminator <= 1.29.3.

- CVE-2024-31857 - Lỗ hổng XSS cho phép kẻ tấn công thực thi mã script và HTML tùy ý trên trình duyệt của người dùng khi người dùng bị lừa truy cập vào một liên kết độc hại, ảnh hưởng đến phiên bản Forminator <= 1.15.4.

Quản trị viên trang web sử dụng plugin Forminator nên nâng cấp plugin lên phiên bản 1.29.3 để giải quyết cả ba lỗ hổng trên càng sớm càng tốt.

Số liệu thống kê của WordPress.org cho thấy kể từ khi phát hành bản cập nhật bảo mật vào ngày 8 tháng 4 năm 2024, khoảng 180.000 quản trị viên trang web đã tải xuống plugin, điều này chỉ ra rằng còn khoảng 320.000 trang web vẫn dễ bị tấn công bởi các lỗ hổng trên.

Hiện chưa có báo cáo công khai nào về hoạt động khai thác CVE-2024-28890, nhưng do tính nghiêm trọng của lỗ hổng và các yêu cầu khai thác tương đối dễ dàng của nó, rủi ro đối với các quản trị viên trì hoãn việc cập nhật là rất lớn.

Để giảm thiểu bề mặt tấn công trên các trang web WordPress, người dùng nên hạn chế sử dụng các plugin, thường xuyên kiểm tra và cập nhật lên phiên bản mới nhất ngay khi có thể cho các plugin đang sử dụng và tắt các plugin không được sử dụng hoặc không cần thiết.

PV (bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.