Lỗ hổng nghiêm trọng của plugin Forminator ảnh hưởng đến hơn 300 nghìn trang web WordPress

25 tháng 4, 2024

Plugin Forminator WordPress được sử dụng trên hơn 500.000 trang web có lỗ hổng cho phép các tác nhân độc hại thực hiện tải tệp không hạn chế lên máy chủ.


Forminator của WPMU DEV là trình tạo liên hệ, phản hồi, câu hỏi, khảo sát/thăm dò ý kiến và biểu mẫu thanh toán tùy chỉnh cho các trang web WordPress có chức năng kéo và thả, tích hợp rộng rãi của bên thứ ba và có tính linh hoạt chung.


Ngày 18 tháng 4, CERT của Nhật Bản đã đưa ra một cảnh báo trên cổng ghi chú lỗ hổng (JVN) cảnh báo về sự tồn tại của một lỗ hổng nghiêm trọng nghiêm trọng (CVE-2024-28890, CVSS v3: 9.8) trong Forminator có thể cho phép một cuộc tấn công từ xa tải phần mềm độc hại lên các trang web bằng cách sử dụng plugin.


“Kẻ tấn công từ xa có thể lấy thông tin nhạy cảm bằng cách truy cập các tệp trên máy chủ, thay đổi trang web sử dụng plugin và gây ra tình trạng từ chối dịch vụ (DoS).” - JVN cho biết


Bản tin bảo mật của JPCERT đã liệt kê ba lỗ hổng sau:

  • CVE-2024-28890 – Xác thực tệp không đầy đủ trong quá trình tải tệp lên, cho phép một cuộc tấn công từ xa tải lên và thực thi các tệp độc hại trên máy chủ của trang web. Tác động phiên bản Forminator 1.29.0 trở về trước.
  • CVE-2024-31077 – Lỗ hổng SQL SQL cho phép các cuộc tấn công từ xa với đặc quyền quản trị viên thực hiện các truy vấn SQL tùy ý trong cơ sở dữ liệu của trang web. Tác độngphiên ban Forminator 1.29.3 trở về trước.
  • CVE-2024-31857 – Lỗ hổng Cross-site scripting (XSS) cho phép kẻ tấn công từ xa thực thi mã tập lệnh và HTML tùy ý vào trình duyệt của người dùng nếu bị lừa đi theo một liên kết được tạo đặc biệt. Tác động phiên bản Forminator 1.15.4 trở lên.


Quản trị viên trang web sử dụng plugin Forminator nên nâng cấp plugin lên phiên bản 1.29.3 để giải quyết cả ba lỗ hổng càng sớm càng tốt.


Số liệu thống kê của WordPress.org cho thấy kể từ khi phát hành bản cập nhật bảo mật vào ngày 8 tháng 4 năm 2024, khoảng 180.000 quản trị viên trang web đã tải xuống plugin. Giả sử tất cả những lượt tải xuống liên quan đến phiên bản mới nhất, vẫn còn 320.000 trang web vẫn dễ bị tấn công.


Tính đến thời điểm bài viết được đăng chưa có báo cáo công khai nào về hoạt động khai thác CVE-2024-28890, nhưng do mức độ nghiêm trọng của lỗ hổng và các yêu cầu dễ đáp ứng để tận dụng thì nguy cơ quản trị viên trì hoãn cập nhật là rất cao.


Để giảm thiểu việc tấn công trên các trang web WordPress, hãy sử dụng càng ít plugin càng tốt, cập nhật lên phiên bản mới nhất càng sớm càng tốt và tắt các plugin không được sử dụng/cần thiết nhiều.



Nguồn: bleepingcomputer.com


Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: